脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開 | ScanNetSecurity
2021.06.20(日)

脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開

一般社団法人コンピュータソフトウェア協会(CSAJ)Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開した。

調査・レポート・白書 調査・ホワイトペーパー
一般社団法人コンピュータソフトウェア協会(CSAJ)Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開した。

同資料は、ソフトウェア開発を行う組織の管理者や責任者を対象に、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめたもの。

同資料はPDF10ページで、その内容は以下の通り。

1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
 (1)契約状況の把握
 (2)プロジェクトの把握
 (3)開発環境や開発に使うソフトウェア情報の把握
 (4)関係者のスキルやリテラシーの把握
 (5)管理体制のメンバーの決定と把握
 (6)ステークホルダー(利害関係者)全体の把握
 (7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
 (1)脆弱性の発見
 (2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
 (3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に

「4.ソフトウェア脆弱性の把握と管理」では、ソフトウェアは元々の思想からも完全なものを作ることは難しく、何かしらの不備や想定していなかったミスなどが生じ、それが脆弱性であるとし、その対応フェーズについて解説。

「脆弱性の発見」では、発見のきっかけとしてOSSの継続的な確認やアップデート、自組織での脆弱性検査、外部からの通報などがあり、その後は組織として発見した脆弱性への対応を検討する「脆弱性の判断と改善」、脆弱性の改善を行う際は情報を外部に発信する「脆弱性の情報開示」がある。開示する際は、脆弱性や対象のソフトウェアの影響が外部に公開されているか否か、脆弱性を悪用する攻撃が確認されているかどうか、ユーザーに適切にバージョンアップを促すことが重要としている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

    パラマウントベッド従業員の仮想デスクトップ環境がウイルス感染、過去のやりとりを装った不審メールを確認

  2. 富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

    富士通のプロジェクト情報共有ツールへの不正アクセス、総務省でも被害確認

  3. スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

    スポーツクラブNASへランサムウェア攻撃、会員管理システムに障害発生

  4. 「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

    「糖質制限ドットコム」に不正アクセス、1年分の決済情報が流出

  5. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  6. 病院向け情報管理システム OpenClinic GA に複数の脆弱性

    病院向け情報管理システム OpenClinic GA に複数の脆弱性

  7. 富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

    富士フイルムへのランサムウェア攻撃、外部への情報流出の痕跡は確認されず

  8. クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

    クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威

  9. かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

    かくれ脱水から脱水状態に進行したときに起こるサインを解説(「教えて!「かくれ脱水」委員会)

  10. Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

    Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

ランキングをもっと見る