HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「地方公共団体のための脆弱性対応ガイド」などを公開

本文を印刷する

情報セキュリティ

「地方公共団体のための脆弱性対応ガイド」などを公開

最終更新日 2012年3月26日

独立行政法人 情報処理推進機構
技術本部 セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、地方公共団体の脆弱性対策を促進するための「地方公共団体のための脆弱性対応ガイド」や報告書など、「情報システム等の脆弱性情報の取扱いに関する研究会」の成果をとりまとめ、2012年3月26日から、IPAのウェブサイトで公開しました。

概要

 IPAでは、昨年10月から開催してきた「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)の活動成果として、地方公共団体の脆弱性対策の実態を把握するとともに、その取り組みを促すための資料である「地方公共団体のための脆弱性対応ガイド」や、研究会の2011年度報告書などをとりまとめ、公開しました。

■「地方公共団体のための脆弱性対応ガイド」

 現在多くの地方公共団体は、インターネットを通じて地域の利用者に行政サービスを提供していますが、そのサービスが稼働するシステムにおいて脆弱性が発見される場合があります。IPAでは、脆弱性関連情報の届出制度である「情報セキュリティ早期警戒パートナーシップ(*1)」を通じて、届出された脆弱性関連情報の通知・脆弱性対策の促進に取り組んでいますが、地方公共団体においては、なかなか脆弱性対策がなされない現状があります。

 このような背景から、地方公共団体の脆弱性対策に関する課題を明らかにするため、地方公共団体に対するアンケートやヒアリング調査を実施しました。

 調査の結果、地方公共団体では脆弱性対策に関して、以下の課題があることが明らかになりました。

    ・突然発覚する脆弱性への対応について、幹部の理解が得られない。
    ・情報システムを管理する担当部門が脆弱性対策の必要性を理解していない。
    ・人事異動により、経験を積んだIT担当部門の職員の知見が活かせなくなる。
    ・脆弱性が見つかった場合の対策の実施や公表に係る方針が定まらない。

 IPAでは、これらの明らかになった課題を踏まえ、地方公共団体の脆弱性対策を促進するべく「地方公共団体のための脆弱性対応ガイド」を作成しました。ガイドには、脆弱性対策の重要さ、脆弱性に起因する影響事例、組織としての対応、脆弱性が見つかった際の対処などを掲載しています。また、情報公開条例等、地方公共団体特有の問題点や事例を掲載しています。

  • 脆弱性に起因する影響事例
    ・事例1:個人情報の外部流出
    ・事例2:フィッシング詐欺サイトの設置
    ・事例3:不正アクセスによるサービスの中断
  • 脆弱性が見つかった際の対処
    ・発見時の対応
    ・脆弱性情報の取り扱いの問題点(情報公開について、サービスの継続/停止について)
    ・脆弱性情報の取り扱いの事例(取り扱いの判断例、公表の例など)

 地方公共団体の職員が本ガイドを読むことで、脆弱性対策への考え方や、脆弱性が発見される以前に検討しておくべきことを知ることができます。

「地方公共団体のための脆弱性対応ガイド」活用イメージ

「地方公共団体のための脆弱性対応ガイド」活用イメージ


■脆弱性情報に係る調整不能案件の公表に関する調査について
 「情報セキュリティ早期警戒パートナーシップ」において届出を受け付けた脆弱性関連情報について、「調整不能(製品開発者と連絡が取れない、公表を拒否される等)」となる案件が存在します。それら調整不能案件についての関連事例や製品開発者の意識などを調査し、「脆弱性情報に係る調整不能案件の公表に関する基礎調査報告書」を作成しました。

 さらに上記基礎調査や法的な課題を踏まえ、2011年度脆弱性研究会にて審議した結果を「脆弱性情報に係る調整不能案件の公表のあり方に関する調査報告書」としてとりまとめました。

 詳細は下記別添をご覧ください。

■「情報システム等の脆弱性情報の取扱いに関する研究会」2011年度報告書
 「情報セキュリティ早期警戒パートナーシップ」に基づく届出制度を運営していく中で、発生している様々な課題やより効果的に運用するための課題を研究会で議論し、報告書としてまとめました。

 詳細は別紙および報告書をご覧ください。


 IPAとしては地方公共団体や企業・組織においてこれら資料が参考となり、脆弱性対策の推進につながることを期待しています。

脚注

(*1)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。

資料のダウンロード

別添:研究会2011年度報告書

■「情報システム等の脆弱性情報の取扱いに関する研究会」報告書について

 政府やIT業界、セキュリティ機関等が我が国の情報セキュリティ確保のために協力する形で実現した情報セキュリティ早期警戒パートナーシップは、ソフトウェアの脆弱性という問題に対処する官民連携の枠組みとして機能してきました。

 今年度の「情報システム等の脆弱性情報の取扱いに関する研究会」(以下、「脆弱性研究会」という)では、地方公共団体の脆弱性対策の実態を把握するとともに、このような取り組みを促すための資料作りに取り組みました。また、企業グループにおける脆弱性対策促進方策、ソフトウェア製品とウェブアプリケーションの境界領域の問題等について検討しました。

 さらに、法務専門家や有識者による「脆弱性情報に係る調整手続検討ワーキンググループ」が、昨年度の脆弱性研究会終了後に検討を続けとりまとめた調整不能案件の公表手順や情報セキュリティ早期警戒パートナーシップガイドライン(以下、「ガイドライン」という)の改訂案を、今年度の脆弱性研究会で審議し加筆修正しました。本報告書はこれらの検討を集約したものです。

■報告書の構成(目次)

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 本年度研究会における検討
2. 地方公共団体の啓発活動に資する調査
 2.1. 調査の概要
 2.2. 地方公共団体に対するアンケート調査
 2.3. 地方公共団体関係者に対するヒアリング調査
 2.4. 地方公共団体の理解を促す資料の作成
3. 実効的な脆弱性対応に関する調査
 3.1. 調査の概要
 3.2. 企業グループにおける脆弱性対策促進策の検討
 3.3. 企業グループ関係者に対するヒアリング調査
 3.4. 実効的な方策について
4. ソフトウェア製品とウェブアプリケーションの境界領域の問題に関する調査
 4.1. 概要
 4.2. 境界領域で発見される脆弱性の取扱い
 4.3. 今後の検討項目
5. ガイドラインの改訂(案)
 5.1. 脆弱性情報に係る調整不能案件の公表
 5.2. 関連ウェブサイトに関する製品開発者との情報交換
6. 今後の課題
参考1 情報システム等の脆弱性情報の取扱いに関する研究会 名簿
参考2 検討経緯
別紙1 情報セキュリティ早期警戒パートナーシップガイドライン改訂案
別紙2 地方公共団体における脆弱性対策の実態に関する調査結果
別紙3 地方公共団体のための脆弱性対応ガイド

研究会2011年度報告書のダウンロード

ガイドライン改定案に関するパブリック・コメント受付

 ガイドライン改定案へのパブリック・コメントについては、2012年3月26日~2012年4月25日の期間で受け付けます。以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7503までお問い合わせください。

更新履歴

2012年3月26日 掲載