脆弱性に対するリスク分析や効果的な対策の考え方をまとめた技術レポート（IPA）

IPAは、「脆弱性を悪用する攻撃への効果的な対策についてのレポート（IPAテクニカルウォッチ）を作成、公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2013.9.26 Thu 16:00

組織にとっての危険度を考慮した、優先的に対策すべき脆弱性の絞り込み全 2 枚拡大写真

独立行政法人情報処理推進機構（IPA）は9月26日、「脆弱性を悪用する攻撃への効果的な対策についてのレポート（IPAテクニカルウォッチ）を作成、公開した。これは、脆弱性を悪用した攻撃の傾向を踏まえて、リスク分析や効果的な対策の考え方をまとめたもの。特に2013年は、CMSなどの脆弱性を悪用したWebサイト改ざんやクライアントソフトの脆弱性を悪用したウイルス感染などの攻撃によって発生した、情報漏えいなどの被害が社会問題化している。

脆弱性は、攻撃を受けなければ無害とはいえ、情報システムが抱えるセキュリティ上のリスクであり、システム運用者やPCユーザは、脆弱性を放置することの危険性を十分に認識し、迅速で適切な対策を講じることが重要としている。本レポートでは対策の要否を判断するための脆弱性の絞り込みや、リスクを把握するための3つの要素（「脆弱性の技術的特性」「攻撃状況」「組織への影響」）を整理した上で、CVSSを用いて脆弱性の危険度を多角的に評価する方法を解説している。また、米国における脆弱性対策の自動化に向けた取組みの一環として開発された技術仕様であるSCAPやIPAでのSCAP活用事例についても紹介している。

《吉澤亨史（ Kouji Yoshizawa ）》