製品開発者向け・製品利用者向けガイド

昨今、多くの組織でAIの利用が事業活動に生かされつつあるなか、ソフトウェアの利用のされ方はより多様になってきています。
一方で、ソフトウェアの脆弱性を悪用するサイバー攻撃は増え続けており、万が一、被害に遭ってしまった場合、その影響は自組織内にとどまらず、より広範に及ぶ可能性があります。
そこで今回、ソフトウェアの脆弱性に起因するサイバー攻撃の被害を最小限に抑えられるよう、ソフトウェアを開発する「製品開発者」と、ソフトウェアを利用する「製品利用者」を対象としたガイドを作成・公開しました。

ガイドの内容

製品開発者向けガイド

製品開発者向けガイドでは、製品開発者が実施すべき脆弱性対処とその開示方法を掲載しています。実施すべき対処は段階的に示しているため、リソースに限りのある製品開発者においても、可能なところから取り組めるよう構成しています。
なお、本ガイドは、2020年に公開している「脆弱性対処に向けた製品開発者向けガイド」（参考資料参照）を基に作成しました。同ガイドは一般消費者向け製品の製品開発者向けとして、引き続き公開していますので、併せてご参照ください。

対象製品

主に不特定または多数の製品利用者が利用するようなインターネット等のネットワークに接続する以下のような製品

• 単体で販売されるソフトウェア
• 単体で販売されるパッケージソフトウェア
• 機器に組み込まれるソフトウェア、ソフトウェアを組み込んだ機器 等

特定の製品利用者向けに、受託開発されたソフトウェアについては対象外。

対象読者

対象製品に関する製品開発者を想定しています。

• 自組織において、上記で開発したソフトウェア自体を製品として提供している事業者の方々（いわゆるソフトウェアの場合）
• 自組織において、上記で開発したソフトウェアを組み込んだ製品を提供している事業者の方々（いわゆるハードウェアの場合）

ガイドの活用方法

• 製品開発者がセキュリティ対策として実施すべき項目を把握できる
• 実施する対処を徐々にレベルアップできる
• 製品利用者に自組織の取組み状況をアピールするため、すべきことを把握できる

製品利用者向けガイド

製品利用者向けガイドでは、製品利用者が実施すべき脆弱性対処を掲載しています。脆弱性対処のうち、人材・プロセス・技術の整備や方針・体制については、組織のリソースに応じて実施できるよう段階的に示しており、可能なところから着手できるよう構成しています。
本来、脆弱性対処はシステム・サービスのライフサイクル全体を通じた網羅的な実施が望ましいものです。
しかし、最初からすべてを行うのはハードルが高い場合もあります。まずは自組織の状況に合わせて「どこから始められるか」を検討し、脆弱性対処の第一歩を踏み出す際の参考としてご活用ください。

対象製品

• ソフトウェア・パッケージソフトウェア
• ソフトウェアを組み込んだ機器
• 上記を含めて構築されるシステム・サービス（自社開発・委託開発を含む）

対象読者

ソフトウェアやソフトウェアを含めて構築されるシステム・サービスを利用している組織のうち、比較的中規模から大規模の組織におけるCSIRT、IT・セキュリティ部門の脆弱性担当者、情報システム部門のセキュリティ担当者等を想定しています。

ガイドの活用方法

• 製品利用者がセキュリティ対策として実施すべき項目を把握できる
• 委託先に求めるセキュリティ対策として要求すべき項目を把握できる
• 実施する対処を徐々にレベルアップできる
• 取引先やビジネスパートナーに対し、自組織の取組み状況をアピールするために必要な事項を把握できる

ダウンロード

ガイド

リーフレット

参考資料

• 脆弱性対処に向けた製品開発者向けガイド
• ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第6版(PDF:496 KB)