IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会（以降、研究会）」（座長：土居 範久 中央大学教授）の2012年度の活動成果として、小企業のウェブサイトの脆弱性対策の実態を把握するとともに、その取り組みを促すための資料である「企業ウェブサイトのための脆弱性対応ガイド」や、研究会の2012年度報告書などをとりまとめ、公開しました。また、2003年からこれまでの活動成果の集大成として「脆弱性ハンドブック」を刊行します。

　IPAと一般社団法人JPCERTコーディネーションセンターなどが中心となり運用をすすめてきた情報セキュリティ早期警戒パートナーシップに基づき、各種脆弱性情報がIPAに届出されています。このうち、ウェブサイトの脆弱性届出では、小企業のウェブサイトが約7割を占めています。小企業では一般的に予算や人手が不十分で、ウェブサイトにおける適切な脆弱性対策は容易でない実情が、これまでの届出から明らかになりました。小企業のウェブサイトの脆弱性対策は喫緊の課題であり、効果的な促進策を適用することが求められます。

　このような背景のもと、IPAでは小企業のウェブサイト運営における脆弱性対策の実態について310件のアンケート調査や10件のヒアリング調査を実施し、以下の課題があることを明らかにしました。

• 予算や人材などのリソースの問題
• セキュリティ対策に関する意識の問題
• セキュリティ技術レベルの問題
• 体制や運用の問題

　IPAではこれらの明らかになった課題を踏まえ、望ましいウェブサイトの脆弱性対策を促進するためのガイドを作成しました。ガイドでは、

• 脆弱性によるウェブサイトの問題
• 脆弱性対策を必ず行うべきウェブサイト
• ウェブサイトの脆弱性対策のポイント
• ウェブサイトの脆弱性対策の要否に関するチェックリスト

などを掲載しています。
このガイドにより、特に小企業のウェブサイト運営者は、ウェブサイトに対する脆弱性対策への考え方や、脆弱性が発見される以前に検討しておくべきこと、また脆弱性情報を告げられた際に実施すべきことを知ることができます。

　政府やIT業界、セキュリティ機関等が我が国の情報セキュリティ確保のために協力する形で実現した情報セキュリティ早期警戒パートナーシップは、ソフトウェアの脆弱性という問題に対処する官民連携の枠組みとして機能してきました。
　今年度の「情報システム等の脆弱性情報の取扱いに関する研究会」（以降、「脆弱性研究会」という）では、小企業のウェブサイトの脆弱性対策の実態を把握するとともに、その取り組みを促すための資料作りに取り組みました。また、経済産業省による告示の改正や、パートナーシップの業務プロセス上の問題解決等に伴い、情報セキュリティ早期警戒パートナーシップガイドライン改訂に向けた検討を脆弱性研究会で実施しました。
　本報告書はこれらの検討を集約したものです。

報告書の構成は以下の通りです。

■ 報告書の構成（目次）
1. 情報セキュリティ早期警戒パートナーシップの現状と課題
　1.1. 背景
　1.2. 運用の状況
　1.3. 本年度研究会における検討
2. 小企業のウェブサイト運営者向け脆弱性対策支援
　2.1. 調査の概要
　2.2. 小企業のウェブサイト運営に関するアンケート調査
　2.3. 小企業ウェブサイトの運営者及び関係者に対するヒアリング調査
　2.4. 小企業のための脆弱性対応ガイド（仮称）の作成
3. ガイドラインの見直しに関する調査
　3.1. 告示の改正への対応に向けた検討
　3.2. 制度運用上の問題解決に関する改訂に向けた検討
　3.3. 研究会における運用上の問題点指摘による改訂に向けた検討
　3.4. 小企業のウェブサイト脆弱性対応に係る効果的な運用改善のための改訂に向けた検討
4. 今後の課題
参考1 情報システム等の脆弱性情報の取扱いに関する研究会 名簿
参考2 検討経緯

■ 資料
安全なウェブサイト運営にむけて 〜 企業ウェブサイトのための脆弱性対応ガイド 〜
小企業における脆弱性対応の実態に関する調査結果

　IPAは、2003年11月に有識者や研究者、専門家等で構成される「情報システム等の脆弱性情報の取扱いに関する研究会」を設置し、未公表のソフトウェアの脆弱性の取扱いについて検討を重ね、その結果を踏まえ現在の脆弱性届出制度（情報セキュリティ早期警戒パートナーシップ）が整備されました。2004年7月の運用開始以降も、同研究会は継続して開催され、制度に関連する様々な課題について検討が重ねられてきました。これまでに蓄積されてきた活動成果をとりまとめ、集大成として「脆弱性ハンドブック」を刊行することになりました。

　本脆弱性ハンドブックの構成は以下の通りです。

• 第1章　はじめに
• 第2章　脆弱性対応の意義
  全ての読者を対象
  ・脆弱性とはどのようなものか概要を説明
  ・実際に起きた脆弱性に起因するトラブルや影響について事例を紹介
  ・国内の脆弱性関連情報の取扱いの枠組みである「情報セキュリティ早期警戒パートナーシップ」の解説
• 第3章　情報システムにおける脆弱性対応
  企業等の組織において情報システムのセキュリティを担当する方を主な対象
  ・脆弱性対策をSI事業者に委託する際に考慮すべき点などを含めた全般的な脆弱性対策を説明
• 第4章 ウェブサイトにおける脆弱性対応
  ウェブサイトを運営される方、ウェブサイトの構築・運用に携わる方を対象
  ・組織における脆弱性の確認や、ウェブサイトの脆弱性について運営者が問われる責任、
  　求められている継続的な対策、脆弱性に関する通知を受けた場合の望ましい対応手順、
  　システムの納入前や納入後に考慮すべきことを解説
• 第5章　ソフトウェア製品と脆弱性対応
  ソフトウェア製品開発者を対象
  ・脆弱性情報の取扱いに関する連絡体制の整備、実際に連絡が来たときの対応方法、
  　脆弱性対策情報の望ましい公表手順について説明
  ・組込みソフトウェアの開発における脆弱性対策を推進する方策も解説
• 第6章　海外動向と国際標準
  ・米国政府の推進する取り組みや、脆弱性対策に関する国際標準化の現在の動向を説明
• 第7章　ソフトウェアやシステムのライフサイクルと脆弱性対策
  ・ソフトウェア製品やウェブサイトなど実施すべき脆弱性対策について説明
  ・IPAウェブサイト等より入手可能な脆弱性関連の各種資料について概要を紹介

なおガイドは、全国官報販売協同組合販売所とAmazon（http://www.amazon.co.jp）にて4月下旬に購入可能な予定です。 　定価： 本体　1,000円（本体952円＋税） 　 ISBN： 978-4-905318-17-0 　 発行： 独立行政法人情報処理推進機構（IPA）

　IPAとしてはこれら調査報告書や脆弱性ハンドブックが参考となり、脆弱性対策の推進につながることを期待しています。

• 安全なウェブサイト運営にむけて 〜 企業ウェブサイトのための脆弱性対応ガイド 〜（全18ページ、944KB）
• 小企業における脆弱性対応の実態に関する調査報告書（全35ページ、1,381KB）
• 2012年度報告書　本編（全33ページ、951KB）

（参考）

• プレスリリース全文
• 別紙１

　前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

• 2011年度 （地方公共団体のための脆弱性対応ガイドなど）
  
• 2010年度 （セキュリティ担当者のための脆弱性対応ガイドなど）
  
• 2008年度 （ウェブサイト構築事業者のための脆弱性対応ガイドなど）
  
• 2007年度 （ウェブサイト運営者のための脆弱性対応ガイドなど）
  
• 2006年度（ソフトウェア製品開発者による脆弱性対策情報の公表マニュアルなど）
• 2005年度（組込みソフトウェアのセキュリティ対策のポイント集など）
• 2004年度 （運用実績を踏まえた問題点整理と今後の取組み）
• 2003年度 （情報システム等の脆弱性情報の取扱いにおける法律面の調査など）

IPA セキュリティセンター 渡辺／板橋
TEL：03-5978-7527　FAX：03-5978-7518 E-mail：

IPA 戦略企画部 広報グループ 横山／佐々木
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:

2013年3月28日	掲載