脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開
一般社団法人コンピュータソフトウェア協会(CSAJ)Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同資料は、ソフトウェア開発を行う組織の管理者や責任者を対象に、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめたもの。
同資料はPDF10ページで、その内容は以下の通り。
1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
(1)契約状況の把握
(2)プロジェクトの把握
(3)開発環境や開発に使うソフトウェア情報の把握
(4)関係者のスキルやリテラシーの把握
(5)管理体制のメンバーの決定と把握
(6)ステークホルダー(利害関係者)全体の把握
(7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
(1)脆弱性の発見
(2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
(3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に
「4.ソフトウェア脆弱性の把握と管理」では、ソフトウェアは元々の思想からも完全なものを作ることは難しく、何かしらの不備や想定していなかったミスなどが生じ、それが脆弱性であるとし、その対応フェーズについて解説。
「脆弱性の発見」では、発見のきっかけとしてOSSの継続的な確認やアップデート、自組織での脆弱性検査、外部からの通報などがあり、その後は組織として発見した脆弱性への対応を検討する「脆弱性の判断と改善」、脆弱性の改善を行う際は情報を外部に発信する「脆弱性の情報開示」がある。開示する際は、脆弱性や対象のソフトウェアの影響が外部に公開されているか否か、脆弱性を悪用する攻撃が確認されているかどうか、ユーザーに適切にバージョンアップを促すことが重要としている。
《ScanNetSecurity》