今度はIPAさんが脆弱性報告を受けた側の対応手順や影響がどんなものかをガイドラインを出したそうです。

IPAでは、IPAから脆弱性に関して通知を行なったWebサイト運営者や、情報システムの構築事業者、セキュリティに関する有識者など16組織に対して、2007年9月から2008年1月までにヒアリングを行ない、Webサイトの脆弱性対策を促進する上での課題を抽出。このヒアリングにおいて、一部のサイト運営者は脆弱性情報への関心が高くないことや、脆弱性を放置した場合の具体的な危険性を認識していない、脆弱性が見つかった場合の対応手順が整理されていないといった問題点が明らかになったという。
こうした問題に対応するため、研究会ではサイト運営の意思決定者や技術者などに向けて、脆弱性対策の促進と情報セキュリティ早期警戒パートナーシップの普及を図るため、「ウェブサイト運営者のための脆弱性対応ガイド」を作成。ガイドでは、Webサイトの脆弱性がもたらす具体的なトラブルや運営者に問われる責任、求められる継続的な対策、脆弱性が見つかった場合の対応手順などを概説し、実際に脆弱性に関する通知を受けた場合の望ましい対応手順をマニュアルとしてまとめている。

関連URL

• 「ウェブサイト運営者のための脆弱性対応ガイド」などを公開：IPA 独立行政法人 情報処理推進機構