新たな情報セキュリティ早期警戒パートナーシップの基本構想などを公開
2016年4月7日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、「情報システム等の脆弱性情報の取扱いに関する研究会」における2015年度の活動成果として、情報セキュリティ早期警戒パートナーシップ(*1)の将来像を検討し取りまとめた資料や制御システムユーザ企業の調査報告書、また情報セキュリティ早期警戒パートナーシップガイドラインの改訂案などを公開しました。
内容
「情報システム等の脆弱性情報の取扱いに関する研究会」2015年度報告書
IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)の2015年度の活動として、パートナーシップが目指すべき将来像を検討し、その実現に向けた今後の検討課題を明らかにした。また、制御システムユーザ企業における脆弱性対応の実態調査を実施し、現行のパートナーシップの改善に関する調査、さらにこれらを踏まえた情報セキュリティ早期警戒パートナーシップガイドラインの改訂などに取り組み、2015年度 報告書としてまとめ公開しました。
■報告書の構成(目次)
1. 情報セキュリティ早期警戒パートナーシップの現状と課題
1.1. 背景
1.2. 運用の状況
1.3. 本年度研究会における検討
2. 情報セキュリティ早期警戒パートナーシップの将来像に関する調査
2.1. 調査の概要
2.2. ワーキンググループでの検討
2.3. ヒアリング調査
2.4. 基本構想(案)の策定に関する調査
3. 制御システムユーザ企業の実態調査
3.1. 調査の概要
3.2. アンケート調査
3.3. ヒアリング調査
3.4. 実態調査報告書の作成及びガイドの改訂に関する調査
4. 現行のパートナーシップの改善に関する調査
4.1. 調査の概要
4.2. 調査結果
5. Pガイドラインの改訂等に関する調査
5.1. 「4.ソフトウエア製品に係る脆弱性関連情報取扱」に関する改訂
5.2. 「5.ウェブアプリケーションに係る脆弱性関連情報取扱」に関する改訂
5.3. その他
参考1 2015年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2 脆弱性研究会の検討経緯
IPAとしてはこれら調査報告書が有効利用され、ソフトウェアの脆弱性対策の普及が進むことを期待しています。
「新たな情報セキュリティ早期警戒パートナーシップの基本構想」公開
脆弱性情報の円滑な流通及び対策の普及を図るための「情報セキュリティ早期警戒パートナーシップ」は運用開始時から10年以上経過し実績を重ねてきた。しかしサイバーテロも発生している今日、脆弱性を取り巻く環境が変化してきており対応の遅れが被害に直結しかねず、パートナーシップもリスクの高まりに迅速に柔軟に対応していくことが期待されている。
そこで、そのような社会的ニーズを考慮し、今後めざすべきパートナーシップの将来像について検討して、その結果を「新たな情報セキュリティ早期警戒パートナーシップの基本構想」として取り纏めた。
■資料の構成(目次)
1. 情報セキュリティ早期警戒パートナーシップを取り巻く環境
1.1. 社会環境の変化
1.2. IT利活用の変化
1.3. 脅威の変化
2. 基本方針
2.1. 視点
2.2. 目指すべき将来像
2.3. パートナーシップの問題点
3. 検討すべき課題
3.1. より迅速な脆弱性対応の実現
3.2. 重要インフラ事業者への優先情報提供
3.3. パートナーシップとシステム構築事業者との連携強化
3.4. 製品開発者による脆弱性対応がなされないことを想定した枠組みの適用
3.5. 脆弱性の発見力の強化
3.6. 製品開発者・ウェブサイト運営者の自主的な取組みを促す仕組みづくり
4. 取り組むべき施策
4.1. ソフトウェア製品
4.2. ウェブサイト
5. 実現に向けたロードマップ
5.1. ロードマップ案
5.2. 将来像のイメージ
情報セキュリティ早期警戒パートナーシップガイドライン 改訂
実際の運用に沿い、ガイドラインの一部を変更しました。
●ソフトウエア製品
(1) 発見者への公表連絡を一律連絡化
(2) 自社製品の脆弱性届出に関する考え方の整理により表現を変更
●ウェブアプリケーション
(1) ウェブアプリケーションで受理条件に脆弱性判断を追加
(2) 取扱を終了する条件およびその際の手続きの一部記載漏れを補完
(3) 関連省庁との連携を追記
脚注
(*1)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。
資料のダウンロード
■2015年度 新規公開資料
- 「情報システム等の脆弱性情報の取扱いに関する研究会」2015年度報告書(全43ページ)(PDF:1.1MB)
- 情報セキュリティ早期警戒パートナーシップガイドライン改訂案(全54ページ)(PDF:1.8MB)
- 新たな情報セキュリティ早期警戒パートナーシップの基本構想(全38ページ)(PDF:1.2MB)
- 制御システムユーザ企業の実態調査報告書(全47ページ)(PDF:887KB)
- 制御システム利用者のための脆弱性対応ガイド 第2版(全36ページ)(PDF:2.4MB)
■過去公開資料の更新
- 情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版(全4ページ)(PDF:369KB)
- 情報セキュリティ早期警戒パートナーシップガイドライン概要英語版(全4ページ)(PDF:137KB)
- ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第3版(全10ページ)(PDF:554KB)
- ウェブサイト構築事業者のための脆弱性対応ガイド 第4版(全21ページ)(PDF:1.3MB)
- ウェブサイト運営者のための脆弱性対応ガイド 第3版(全24ページ)(PDF:1.2MB)
- セキュリティ担当者のための脆弱性対応ガイド 第3版(全24ページ)(PDF:1.4MB)
- 情報システムの安全を維持していただくために 第2版(全4ページ)(PDF:292KB)
関連資料
前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書
- 2014年度(制御システム利用者のための脆弱性対応ガイドなど)
- 2013年度(グローバル化の課題と今後の方針 調査報告書など)
- 2012年度(企業ウェブサイトのための脆弱性対応ガイドなど)
- 2011年度(地方公共団体のための脆弱性対応ガイドなど)
- 2010年度(セキュリティ担当者のための脆弱性対応ガイドなど)
- 2008年度(ウェブサイト構築事業者のための脆弱性対応ガイドなど)
- 2007年度(ウェブサイト運営者のための脆弱性対応ガイドなど)
- 2006年度(ソフトウェア製品開発者による脆弱性対策情報の公表マニュアルなど)
- 2005年度(組込みソフトウェアのセキュリティ対策のポイント集など)
- 2004年度(運用実績を踏まえた問題点整理と今後の取組み)
- 2003年度(情報システム等の脆弱性情報の取扱いにおける法律面の調査など)
お問い合わせ
IPA セキュリティセンター 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7518