2012年3月26日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、地方公共団体の脆弱性対策を促進するための「地方公共団体のための脆弱性対応ガイド」や報告書など、「情報システム等の脆弱性情報の取扱いに関する研究会」の成果をとりまとめ、2012年3月26日から、IPAのウェブサイトで公開しました。
URL: http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html
IPAでは、昨年10月から開催してきた「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)の活動成果として、地方公共団体の脆弱性対策の実態を把握するとともに、その取り組みを促すための資料である「地方公共団体のための脆弱性対応ガイド」や、研究会の2011年度報告書などをとりまとめ、公開しました。
■「地方公共団体のための脆弱性対応ガイド」現在多くの地方公共団体は、インターネットを通じて地域の利用者に行政サービスを提供していますが、そのサービスが稼働するシステムにおいて脆弱性が発見される場合があります。IPAでは、脆弱性関連情報の届出制度である「情報セキュリティ早期警戒パートナーシップ(*1)」を通じて、届出された脆弱性関連情報の通知・脆弱性対策の促進に取り組んでいますが、地方公共団体においては、なかなか脆弱性対策がなされない現状があります。
このような背景から、地方公共団体の脆弱性対策に関する課題を明らかにするため、地方公共団体に対するアンケートやヒアリング調査を実施しました。
調査の結果、地方公共団体では脆弱性対策に関して、以下の課題があることが明らかになりました。
-
・突然発覚する脆弱性への対応について、幹部の理解が得られない。
・情報システムを管理する担当部門が脆弱性対策の必要性を理解していない。
・人事異動により、経験を積んだIT担当部門の職員の知見が活かせなくなる。
・脆弱性が見つかった場合の対策の実施や公表に係る方針が定まらない。
IPAでは、これらの明らかになった課題を踏まえ、地方公共団体の脆弱性対策を促進するべく「地方公共団体のための脆弱性対応ガイド」を作成しました。ガイドには、脆弱性対策の重要さ、脆弱性に起因する影響事例、組織としての対応、脆弱性が見つかった際の対処などを掲載しています。また、情報公開条例等、地方公共団体特有の問題点や事例を掲載しています。
- 脆弱性に起因する影響事例 ・事例1:個人情報の外部流出
・事例2:フィッシング詐欺サイトの設置
・事例3:不正アクセスによるサービスの中断
- 脆弱性が見つかった際の対処 ・発見時の対応
・脆弱性情報の取り扱いの問題点(情報公開について、サービスの継続/停止について)
・脆弱性情報の取り扱いの事例(取り扱いの判断例、公表の例など)
地方公共団体の職員が本ガイドを読むことで、脆弱性対策への考え方や、脆弱性が発見される以前に検討しておくべきことを知ることができます。
「地方公共団体のための脆弱性対応ガイド」活用イメージ
■脆弱性情報に係る調整不能案件の公表に関する調査について
「情報セキュリティ早期警戒パートナーシップ」において届出を受け付けた脆弱性関連情報について、「調整不能(製品開発者と連絡が取れない、公表を拒否される等)」となる案件が存在します。それら調整不能案件についての関連事例や製品開発者の意識などを調査し、「脆弱性情報に係る調整不能案件の公表に関する基礎調査報告書」を作成しました。
さらに上記基礎調査や法的な課題を踏まえ、2011年度脆弱性研究会にて審議した結果を「脆弱性情報に係る調整不能案件の公表のあり方に関する調査報告書」としてとりまとめました。
■「情報システム等の脆弱性情報の取扱いに関する研究会」2011年度報告書
「情報セキュリティ早期警戒パートナーシップ」に基づく届出制度を運営していく中で、発生している様々な課題やより効果的に運用するための課題を研究会で議論し、報告書としてまとめました。
IPAとしては地方公共団体や企業・組織においてこれら資料が参考となり、脆弱性対策の推進につながることを期待しています。
脚注
プレスリリースのダウンロード
本件に関するお問い合わせ先
IPA 技術本部 セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail:
報道関係からの問い合わせ先
IPA 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: