情報処理安全確保支援士 オンライン講習Aを受けた備忘録(2)
内容:情報処理安全確保支援士 オンライン講習A
日時:2020年4月
情報セキュリティ早期警戒 パートナーシップガイドライン
日時:2020年4月
情報セキュリティ早期警戒 パートナーシップガイドライン
- 目標『情報セキュリティ早期警戒パートナーシップガイドライン』の内容と仕組みを学び、活用できるようになる
1章 目的と背景
- 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』
- 対応方法の把握
- 発見者として[脆弱性を発見]⇒[IPAに報告]
- 開発者・運営者として
- ソフトウェア製品の場合、[JPCERT/CCより連絡]⇒[対応開始]
- WEBアプリの場合、[IPAより連絡]⇒[対応開始]
- 報告しない場合のデメリット
- 情報の網羅性が担保されない
- 脆弱性があることに気づかずに使用
- 脆弱性を狙った攻撃の成立
- 発見者は対応状況が分からず不安
- 対応の遅れによる脆弱性の悪用
- 開発企業のブランド価値の毀損
- 登録セキスペ
- 倫理観:高い倫理観を持ち、常に全力でセキュリティを維持することに努める
- 使命・役割:継続的な講習受講により、知識・技能を保持する者として行動する
- 法律や規約:国家資格であり秘密保持義務や信用失墜行為の禁止等の義務を順守する
2章 用語と適用範囲
- 脆弱性とは「ソフトウェア製品やWEBアプリケーション等におけるセキュリティ上の問題個所」
- 脆弱性関連情報とは、脆弱性情報、検証方法、攻撃方法のいづかに該当する情報
- 対策方法とは、脆弱性から生じる問題を回避する方法、解決を図る方法
- 発見者とは、脆弱性関連情報を発見または取得した人(インターネット上で脆弱性関連情報を入手した人も含む※脆弱性を発見した人だけではない
- ガイドラインのソフトウェア製品における適用範囲
- 「国内で利用されている」ソフトウェア製品
- 「仕様自体の脆弱性は含まない」
- ウェブアプリケーションの適用範囲
- 「主に日本国内からのアクセスが想定されているサイト」で稼働するウェブアプリケーション
3章 ソフトウェア製品に係る脆弱性関連情報の取り扱い
- 情報セキュリティ早期警戒パートナーシップガイドライン
- 情報非開示依頼 - 発見者はIPAおよびJPCERT/CCが脆弱性情報を公開するまでの間は脆弱性関連情報が第三者に漏れないよう適切に管理する。
- “脆弱性情報の公表に関するスケジュールについてJPCERT/CCと相談する
- 公表日は起算日から45日後を目安とする
4章 ウェブアプリケーションに係る脆弱性関連情報の取り扱い
- IPAは四半期ごとにWEBアプリの脆弱性について統計を公開
- WEBアプリの場合は、JPCERT/CCが調整に加わらない
- “ウェブサイト運営者は、ウェブアプリケーションの脆弱性関連情報に関して、積極的に公表する必要はない、ただし、この脆弱性が原因で、個人情報が漏洩した等の事案が起こったまたは起こった可能性がある場合、二次被害の防止および関連事案の予防のために公表してください。”
まとめ
- 経営課題への対応
- 脆弱性関連情報に関する窓口を設置し、関係機関に連絡する
- 脆弱性関連情報を適切なタイミングで公開する
- システム等の設計・開発
- 脆弱性が発見された場合の対応について把握する
- 発見された部分以外にも脆弱性が存在しないかテストを実施、評価する
- 運用・保守
- 脆弱性が発見された場合、ガイドラインに従ってスムーズに対応し報告する
- 修正時の対応内容について理解し正しい手順で対応する
- 緊急対応
- 脆弱性によるインシデント対応の体制を用意する
- 情報漏洩等の有無について調査、報告を行う
コメント
コメントを投稿