HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「セキュリティ担当者のための脆弱性対応ガイド」などを公開

本文を印刷する

情報セキュリティ

「セキュリティ担当者のための脆弱性対応ガイド」などを公開

最終更新日 2011年3月31日

独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、自組織に必要な脆弱性対策を推進するための「セキュリティ担当者のための脆弱性対応ガイド」や報告書など、「情報システム等の脆弱性情報の取扱いに関する研究会」の成果をとりまとめ、2011年2月28日から、IPAのウェブサイトで公開しました。

概要

 IPAでは、昨年5月から開催してきた「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)の成果である「セキュリティ担当者のための脆弱性対応ガイド」や「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」、および研究会の2010年度報告書を公開しました。

■「セキュリティ担当者のための脆弱性対応ガイド」

 これまでIPAでは、ウェブサイト運営者やウェブサイト構築事業者向けに脆弱性対応ガイド (*1)を公開してきましたが、企業等の組織におけるセキュリティ担当者への啓発も必要と考え、まずはその実態を把握するために、アンケートを中心とした調査を行いました。これは、脆弱性関連情報の届出制度である「情報セキュリティ早期警戒パートナーシップ(*2)」への届出が増加してきているなか、IPA からウェブサイトに脆弱性情報の連絡を取った際、セキュリティの責任者であっても脆弱性に関して理解が浅いことや、主業務との兼任でセキュリティ担当者をしているなど、脆弱性に対する認識が甘い、正しい知識が備わっていない、などのケースが見られたためです。

 アンケートの結果、大企業と比較して中小企業では、被害経験が少ないため脆弱性対策の必要性を強く感じていないことが明らかになりました。また、運用中のウェブサイトの脆弱性対策に必要な契約と費用に関する質問では、脆弱性対策はウェブサイト運営委託先との契約に明記されていないが事実上委託費用に全て含まれているという回答が最も多く(外部委託している企業の3割)、増加する脆弱性の状況を考慮すれば、委託先の負担はバランスを欠いていると見ることもできます。

 IPAではこれらの明らかになった点を踏まえ、組織内で脆弱性対策の知識を必要とするセキュリティ担当者を対象とした「セキュリティ担当者のための脆弱性対応ガイド」を作成しました。本ガイドでは脆弱性に起因するトラブルや影響の事例、事業者に委託する際の考え方などを含めた、全般的な脆弱性対策を解説しています。
 具体的には、脆弱性に起因する代表的なトラブル事例を3ケースと、脆弱性対策項目として設計・開発・導入段階における対策を3項目、運用段階における対策を4項目、脆弱性の存在が判明した際の対処手順を2項目、業務委託に関する注意点1項目をそれぞれ掲載しています。

  • トラブル事例
    ・事例1 ウェブサイトへの不正アクセスによる事業中断
    ・事例2 ウイルス感染が元で起きるウェブサイトの改ざん
    ・事例3 ウェブサイトへのフィッシング詐欺サイト設置
  • 対策項目例
    ・ソフトウェア構成や変更状況の管理
    ・脆弱性情報の収集
    ・脆弱性検査の実施
    ・修正プログラム(パッチ)の適用
    ・契約時に合意すべき事項
    など

「セキュリティ担当者脆弱性対応ガイド」の想定読者と活用イメージ


 本ガイドを読むことで、ウェブサイトに脆弱性を作り込まないための注意点や、脆弱性が判明した場合の適切な対処方法を知ることができます。

■「組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)」
 IPAでは、2006年に啓発資料として「組込みソフトウェアを用いた機器におけるセキュリティ」を公開しましたが、公開後組込みシステムを取り巻く環境の変化や技術の進展などから、それを反映した改訂版を作成しました。

■「情報システム等の脆弱性情報の取扱いに関する研究会」2010年度報告書
 詳細は下記別添をご覧ください。

 IPAとしてはこれらの資料が、企業等の組織にとって、脆弱性対策推進の参考となることを期待しています。

脚注

(*1)「ウェブサイト運営者のための脆弱性対応ガイド」、「ウェブサイト構築事業者のための脆弱性対応ガイド」
http://www.ipa.go.jp/security/vuln/index.html#guideline

(*2)ソフトウェア製品及びウェブアプリケーション(ウェブサイト)に関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。

資料のダウンロード

別添:研究会2010年度報告書

■「情報システム等の脆弱性情報の取扱いに関する研究会」報告書について

 2009年度には、ガンブラーによるウェブサイト改ざん・ウイルス感染等が急速に広がり、一時は大手企業のサイトでさえ信頼できない状況に陥りました。また、従業員や委託先の内部犯行が企業に巨額の損害を与えた事件が発生し、脅威は組織の外だけではないことをあらためて認識させられました。さらに、米国の政府機関や韓国の公的機関、民間企業等が狙われた大規模なDDoS攻撃では、攻撃手法の高度化・複雑化が指摘されています。

 このように脅威や攻撃が変質しつつある上、クラウド・コンピューティングのように、従来のITサービスのモデルが大きく変貌しようとする状況において、組織や個人のITユーザは各々が日々の運用の中でこれまで以上に自衛に努めることが求められています。したがって「情報セキュリティ早期警戒パートナーシップ」は、そうしたITユーザを支援する社会制度として、重要な役割を担っているといえます。

 そこで、今年度の「情報システム等の脆弱性情報の取扱いに関する研究会」では、ITユーザに焦点をあて、脆弱性対策の実態を把握するとともに、そうした取り組みを促すための資料作りに取り組みました。また、ITユーザが被害を受ける可能性を低減するため、「情報セキュリティ早期警戒パートナーシップ」への届出を滞留させることを減らすべく、調整不能案件の適切な取扱いについての検討にも着手しました。本報告書はその検討を集約したものです。

■報告書の構成(目次)

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 本年度研究会における検討
2. 脆弱性対策に関する定量的調査
 2.1. 調査目的
 2.2. 調査手順
 2.3. 組織へのプレヒアリング調査
 2.4. 組織のセキュリティ担当者へのアンケート調査
3. セキュリティ担当者が活用可能な脆弱性対策の普及・啓発に係る検討
 3.1. 普及・啓発に関する課題
 3.2. 「セキュリティ担当者のための脆弱性対応ガイド」の作成
4. 発見者との関係強化に係る検討
 4.1. 発見者へのヒアリング調査
 4.2. 技術者コミュニティへのヒアリング調査
 4.3. まとめ
5. 組込みシステムの脆弱性に係る検討
 5.1. 検討の経緯
 5.2. デジタルテレビにおける脆弱性関連情報の取扱い状況の把握
 5.3. 経営者向け組込みセキュリティ啓発資料の検討
6. パートナーシップの展開に係る検討
 6.1. パートナーシップにおける調整手続および脆弱性関連情報提供手続の検討
 6.2. 情報セキュリティ早期警戒パートナーシップガイドラインの修正に関する検討
 6.3. 今後の検討課題

別紙1. 情報システム等の脆弱性情報の取扱いに関する研究会 名簿
別紙2. 情報セキュリティ早期警戒パートナーシップガイドライン 改訂案

研究会2010年度報告書のダウンロード

ガイドライン改定案に関する意見受付

 ガイドライン改定案への意見については、2011年2月28日~2011年3月18日の期間で受け付けます。
 意見については、以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 渡辺/大森
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7503までお問い合わせください。

更新履歴

2011年3月31日 組込みソフトウェアを用いた機器におけるセキュリティ(改訂版)のデザインを更新しました。
2011年3月28日 セキュリティ担当者のための脆弱性対応ガイドを、ガイドラインの2010年改訂に合わせ第2版とし、ガイドラインの一部としました。
2011年2月28日 掲載