脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開
一般社団法人コンピュータソフトウェア協会(CSAJ)Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同資料は、ソフトウェア開発を行う組織の管理者や責任者を対象に、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめたもの。
同資料はPDF10ページで、その内容は以下の通り。
1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
(1)契約状況の把握
(2)プロジェクトの把握
(3)開発環境や開発に使うソフトウェア情報の把握
(4)関係者のスキルやリテラシーの把握
(5)管理体制のメンバーの決定と把握
(6)ステークホルダー(利害関係者)全体の把握
(7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
(1)脆弱性の発見
(2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
(3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に
「4.ソフトウェア脆弱性の把握と管理」では、ソフトウェアは元々の思想からも完全なものを作ることは難しく、何かしらの不備や想定していなかったミスなどが生じ、それが脆弱性であるとし、その対応フェーズについて解説。
「脆弱性の発見」では、発見のきっかけとしてOSSの継続的な確認やアップデート、自組織での脆弱性検査、外部からの通報などがあり、その後は組織として発見した脆弱性への対応を検討する「脆弱性の判断と改善」、脆弱性の改善を行う際は情報を外部に発信する「脆弱性の情報開示」がある。開示する際は、脆弱性や対象のソフトウェアの影響が外部に公開されているか否か、脆弱性を悪用する攻撃が確認されているかどうか、ユーザーに適切にバージョンアップを促すことが重要としている。
《ScanNetSecurity》
関連記事
関連リンク
特集
アクセスランキング
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績
-
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
-
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
-
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR
-
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
-
情報処理学会、高等学校情報科の全教科書の用語リスト公開
-
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
-
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
-
LINE client for iOS にサーバ証明書の検証不備の脆弱性