「わいてくる」脆弱性をどう解消するか
ベンダー側の社内体制の整備については、現在電子情報技術産業協会(JEITA)や情報サービス産業協会(JISA)がガイドライン作りを進めている。製品開発ベンダーが脆弱性情報を取扱う際の体制や手順整備に関するガイドラインとして、7月に概要が公開されており、詳細版に関しても10月までには公開される見込みだ。
JEITAの宮地利雄氏は企業を取り巻く問題として、ソフトウェアのモジュールを社外から調達することが増えていることを挙げ、「脆弱性が発見されたときにどう解決するかが大きな課題だ」と話す。「開発者から見ると、脆弱性はわいてくるものという感じだ。今までのチェック体制では見つからない脆弱性が存在するということを前提に、いかに通常の業務プロセスにフィードバックするかが重要になる」と指摘した。
日本情報システム・ユーザー協会(JUAS)の高橋秀敏氏は脆弱性対策の大前提として、品質のよいソフトウェアが提供されるべきだと話す。「脆弱性を狙われないように未然防止策のPDCAサイクルを確立してもらいたい」(高橋氏)。また、脆弱性を修正するためのパッチが不具合を起こさないものであること、仮に不具合が起きてもアンインストールすれば確実に元の状態に戻るようにしてほしいと話す。
JUASのアンケート調査によれば、ユーザー企業の72%がパッチ適用テストで何らかの副作用を経験しており、実機への適用時にも8%のユーザーが副作用によって大きなトラブルがあったという。「パッチ適用に対する不安感がぬぐえず、結果としてしばらくの間脆弱性を抱えたままシステムを稼働せざるを得ないという状況がある」(高橋氏)
「脆弱性は業務運営にも甚大な影響をもたらすものであり、経営リスクであるという認識をベンダー側にも持ってもらいたい」(高橋氏)と苦言を呈した。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境