IPA「企業ウェブサイトのための脆弱性対応ガイド」8年ぶり改訂、クラウド利用も想定

独立行政法人情報処理推進機構（IPA）は3月30日、小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえて「企業ウェブサイトのための脆弱性対応ガイド」を8年ぶりに改訂し公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.4.1 Thu 8:05

独立行政法人情報処理推進機構（IPA）は3月30日、小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえて「企業ウェブサイトのための脆弱性対応ガイド」を8年ぶりに改訂し公開した。

IPAでは「情報システム等の脆弱性情報の取扱いに関する研究会」において、2020年度は小規模ウェブサイト運営者の脆弱性対策状況や課題を踏まえた方策を検討するため、2012年度と同様に小規模ウェブサイト運営者の現状把握のアンケート調査を実施、2012年度の調査結果との比較考察等を行った。IPAではさらに、調査結果を踏まえウェブサイトの脆弱性対策を促進するため「企業ウェブサイトのための脆弱性対応ガイド」を改訂し、公開した。

IPAでは2020年12月に、小規模ウェブサイト運営者301社から脆弱性対処の現状に関するアンケート結果を回収し調査した結果、ウェブサイトの重要性が高まるなか、この10年程度のセキュリティ対策コストは変わっていないことが明らかになった。また、脆弱性対策を進める上での課題として、技術の習得や情報の入手・選別が難しいことをあげる割合が高いことも判明した。

IPAでは調査結果をもとに、「情報システム等の脆弱性情報の取扱いに関する研究会」で調査してきた結果も踏まえ課題への対処方法を検討、脆弱性対策に必要となる情報を集約し、基本的な知識から技術習得のための情報までをまとめた形で小規模のウェブサイト運営者に対して提供することを目的に「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。

2013年の公開から8年ぶりとなる改訂では実際の被害事例を刷新、クラウドサービスの利用や外部委託先に依頼する際に検討すべき点を追加するなど、最新の情報を反映している。また、ウェブサイトの脆弱性対策のポイントを7項目に大別し具体的な対応に役立つ情報をリンクで明示し、対策の要否に関するチェックリストを紹介、小規模ウェブサイト運営者が抱える課題に対処している。

資料の構成は以下の通り。

0. こんな時にご覧ください
1. ウェブサイトを安全に運用するために
　1.1. ウェブサイトと脆弱性
　1.2. 脆弱性が元で起きる問題の例
2. 脆弱性対策を必ず行うべきウェブサイトとは
3. ウェブサイトの脆弱性対策のポイント
　(1) 実施しているセキュリティ対策を把握する
　(2) 脆弱性への対処をより詳しく検討する
　(3) ウェブサイトの構築時にセキュリティに配慮する
　(4) セキュリティ対策を外部に任せる
　(5) セキュリティの担当者と作業を決めておく
　(6) 脆弱性の報告やトラブルには適切に対処する
　(7) 難しければ専門家に支援を頼む
参考資料
　参考1. 脆弱性とは？
　参考2. ウェブサイトの脆弱性対策の要否に関するチェックリスト
　参考3. 脆弱性の指摘への対処
　参考4. 情報セキュリティ早期警戒パートナーシップ
　参考5. 参考URL