サイト構築事業者のための脆弱性対応ガイド、IPAが公開

　独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）は6月8日、「ウェブサイト構築事業者のための脆弱性対応ガイド」と題した報告書などをIPAのウェブサイトで公開した。

　IPAでは、情報サービス事業者、セキュリティベンダー、セキュリティに関する有識者など約20組織を対象に、2008年10月から2009年3月までヒアリングし、ウェブサイトの脆弱性対策を促進する上での課題を抽出した。その結果、ウェブサイトを公開している企業の中には、システムの導入や運営をする上での意思決定層が脆弱性に関して知識をあまり持っておらず、運用や保守の予算が十分に確保されていないケースが多いことが判明したという。

　また、クロスサイト・スクリプティングやSQLインジェクションの脆弱性に関しては、ウェブサイト構築時の原因も多く、脆弱性対策への意識を構築者がいっそう高める必要がある、などの課題も浮き彫りとなった。

　このような問題に対応するため、情報サービス企業の技術者やウェブデザイナー、企業内でウェブサイトの構築や運用を担当する技術者向けに、システムの納入前や納入後に考慮すべきことをまとめた「ウェブサイト構築事業者のための脆弱性対応ガイド」を作成した。また、脆弱性対策の重要性を簡潔に記したパンフレット「情報システムを安全にお使いいただくために」も作られている。

　なお、この脆弱性対応ガイドは、コンピュータ不正アクセス、コンピュータウイルスなどによる被害発生を抑制するために、関係者に推奨する行為をとりまとめたガイドライン「情報セキュリティ早期警戒パートナーシップガイドライン」の一部とする予定という。