ソフトウェアの脆弱性にどう立ち向かうか--IPAX講演より - (page 2)

永井美智子(CNET Japan編集部)2004年09月10日 16時23分

「わいてくる」脆弱性をどう解消するか

  ベンダー側の社内体制の整備については、現在電子情報技術産業協会(JEITA)や情報サービス産業協会(JISA)がガイドライン作りを進めている。製品開発ベンダーが脆弱性情報を取扱う際の体制や手順整備に関するガイドラインとして、7月に概要が公開されており、詳細版に関しても10月までには公開される見込みだ。

  JEITAの宮地利雄氏は企業を取り巻く問題として、ソフトウェアのモジュールを社外から調達することが増えていることを挙げ、「脆弱性が発見されたときにどう解決するかが大きな課題だ」と話す。「開発者から見ると、脆弱性はわいてくるものという感じだ。今までのチェック体制では見つからない脆弱性が存在するということを前提に、いかに通常の業務プロセスにフィードバックするかが重要になる」と指摘した。

  日本情報システム・ユーザー協会(JUAS)の高橋秀敏氏は脆弱性対策の大前提として、品質のよいソフトウェアが提供されるべきだと話す。「脆弱性を狙われないように未然防止策のPDCAサイクルを確立してもらいたい」(高橋氏)。また、脆弱性を修正するためのパッチが不具合を起こさないものであること、仮に不具合が起きてもアンインストールすれば確実に元の状態に戻るようにしてほしいと話す。

  JUASのアンケート調査によれば、ユーザー企業の72%がパッチ適用テストで何らかの副作用を経験しており、実機への適用時にも8%のユーザーが副作用によって大きなトラブルがあったという。「パッチ適用に対する不安感がぬぐえず、結果としてしばらくの間脆弱性を抱えたままシステムを稼働せざるを得ないという状況がある」(高橋氏)

  「脆弱性は業務運営にも甚大な影響をもたらすものであり、経営リスクであるという認識をベンダー側にも持ってもらいたい」(高橋氏)と苦言を呈した。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]