« 「CSR/内部統制ソリューション2009」 | トップページ | 「SANS Future Visions 2009 Tokyo」 »

2009年6月 9日 (火)

「ウェブサイト構築事業者のための脆弱性対応ガイド」など、公開

IPAのHPで、「ウェブサイト構築事業者のための脆弱性対応ガイド」「情報システム等の脆弱性情報の取扱いに関する研究会2008年度報告書」などが公開されました。

関連文書まで含めると、かなりたくさんあって、適切な対応以前に、体制や基準など全体像を理解するのが大変です。
まず、そのためのガイドということですね、たぶん。
ということで、このガイドから読んで段階的に理解を進めましょう。

●概要
 IPAでは、情報サービス事業者、セキュリティベンダー、セキュリティに関する有識者など約20組織に対して、昨年10月から本年3月までにヒアリングを行い、ウェブサイトの脆弱性対策を促進する上での課題を抽出しました。

 このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予算が十分に確保されていないケースが少なくないことが判明しました。また、「情報セキュリティ早期警戒パートナーシップ」への届出の半数を占めるクロスサイト・スクリプティングやSQLインジェクション脆弱性に関しては、ウェブサイト構築時の原因も多く、ウェブサイト構築者が脆弱性対策への意識をいっそう高める必要がある、などの課題が浮き彫りとなりました。

 このような問題に対応するため、「情報システム等の脆弱性情報の取扱いに関する研究会」では、ウェブサイトの責任者向けに、脆弱性対策の重要性を簡潔に記したパンフレット「情報システムを安全にお使いいただくために」を作成しました。また、情報サービス企業の技術者やウェブデザイナー、企業内でウェブサイト構築・運用を担当する技術者向けに、JISAガイダンスを補足する資料として、システムの納入前や納入後に考慮すべきことをまとめた「ウェブサイト構築事業者のための脆弱性対応ガイド」を作成しました。

「情報システムを安全にお使いいただくために」(全4ページ、273KB)」
「ウェブサイト構築事業者のための脆弱性対応ガイド(全20ページ、1.32MB)」
・別添:「研究会2008年度報告書」

■報告書の構成(目次)
1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 普及啓発の状況
 1.4. 本年度研究会における検討

2. 脆弱性対策の普及・啓発に係る検討
 2.1. 対策促進に関する課題
 2.2. 情報サービス事業者等が活用可能な普及・啓発資料の策定
 2.3. 普及・啓発に係る方策の検討

3. 組込みシステムの脆弱性に係る検討
 3.1. 対策促進に関する課題
 3.2. 組込み製品の情報セキュリティ機能に係るユーザ向け普及啓発資料の策定
 3.3. 組込み製品の情報セキュリティ機能のユーザ向け説明記載等のあり方の検討
 3.4. 組込み製品における脆弱性の検討

4. パートナーシップの強化・浸透に係る検討
 4.1. パートナーシップ関係者間の関係強化
 4.2. 脆弱性発見から対策適用までの分析・検証能力の強化
 4.3. 暗号アルゴリズム及びプロトコルの脆弱性の取扱い

5. JVN/パートナーシップの目指すべき方向性と展開に係る検討
 5.1. 海外の関連研究動向を踏まえたJVN機能の方向性
 5.2. 長期化案件への対応方針の検討
 5.3. 情報セキュリティ早期警戒パートナーシップガイドラインの修正に関する検討
 5.4. 今後の課題

別紙1. 「情報システム等の脆弱性情報の取扱いに関する研究会 名簿」

別紙2. 「情報セキュリティ早期警戒パートナーシップガイドライン 改訂案」

|

« 「CSR/内部統制ソリューション2009」 | トップページ | 「SANS Future Visions 2009 Tokyo」 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/30010342

この記事へのトラックバック一覧です: 「ウェブサイト構築事業者のための脆弱性対応ガイド」など、公開:

« 「CSR/内部統制ソリューション2009」 | トップページ | 「SANS Future Visions 2009 Tokyo」 »