IPA、ウェブサイト運営者のための「脆弱性対応ガイド」PDFファイルなどを公開

　独立行政法人情報処理推進機構（IPA）は28日に、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイド」、さらに「情報システム等の脆弱性情報の取扱いに関する研究会」報告書などのドキュメントをIPAのウェブサイトで公開した。

　「ウェブサイト運営者のための脆弱性対応ガイド」は、ウェブサイトの脆弱性がもたらす具体的なトラブルや運営者に問われる責任、ウェブサイトに求められる継続的な対策、脆弱性が見つかった場合の対応手順などを概説し、実際に脆弱性に関する通知を受けた場合の望ましい対応手順を脆弱性対応マニュアルとしてまとめたものとなっている。巻末には「脆弱性について通知を受けた場合の作業チェックリスト」が付与されている。

　IPAの調査によると、一部のウェブサイト運営者において、ウイルス・不正アクセス対策などの他の情報セキュリティ対策と比べて「情報システムの脆弱性対策」は関心が高くない、脆弱性を放置した場合にウェブサイトで起こる可能性のある情報漏えいやフィッシング詐欺などの具体的な危険性を認識していない、実際に脆弱性が見つかった場合の対応手順が整理されていない、などの問題点があった。また、セキュリティ対策に関心が高い運営者であっても、IPAから脆弱性の通知を受けるまで、「情報セキュリティ早期警戒パートナーシップ」を認知していなかったケースがあった。

　このような問題に対応するため、「情報システム等の脆弱性情報の取扱いに関する研究会」では、ウェブサイト運営の意思決定者（経営層を含む）や、組織内のウェブサイト技術者、およびシステム構築事業者と協力しながら脆弱性の確認や修正作業を行う担当者に向けて、ウェブサイトの脆弱性対策の促進と「情報セキュリティ早期警戒パートナーシップ」の普及を図るため、「ウェブサイト運営者のための脆弱性対応ガイド」を作成したとのこと。

　なお、本ガイドは、コンピュータ不正アクセス、コンピュータウイルスなどによる被害発生を抑制するために、関係者に推奨する行為をとりまとめたガイドライン「情報セキュリティ早期警戒パートナーシップガイドライン」の一部となる予定。