求められる的確な脆弱性対策情報 - IPAが公表マニュアルを用意

情報処理推進機構（IPA）は、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」をとりまとめ、ウェブサイト上で公開した。

同マニュアルは、2006年12月より開催している「情報システム等の脆弱性情報の取扱いに関する研究会」の検討結果をまとめたもの。ソフトウェア製品開発者が的確な脆弱性情報をユーザへ提供できるよう、公表する際の手順や公表項目、ユーザーが必要とする情報、脆弱性対策情報への誘導方法などを説明している。

具体的には、脆弱性対策情報を提供する際には修正プログラムを提供するだけでは不十分で、十分な説明が必要として、製品名やバージョンのほか、情報の公表時期や脅威の深刻度、修正プログラム以外の回避策などの情報を明示すべきとしている。

また情報の公表項目や公表手順について、望ましい公表例と、利用者にとって分かりにくい公表例を挙げて、個別に解説している。脆弱性対策情報への誘導方法についても例示して、情報の更新日を明記し、利用者がアクセスしやすいリンクの貼り方を工夫するよう求めている。

（Security NEXT - 2007/05/31 ） ツイート

PR

関連記事

海外子会社がランサム被害、影響など詳細を調査 - 淀川製鋼所
システム障害、調査でランサムウェアが原因と判明 - 近鉄エクスプレス
パッチや緩和策の適用、メモリ保護を統合した脆弱性対策製品
従業員がサポート詐欺被害、個人情報流出か - 住友林業クレスト
個人情報含む契約書類を誤送信、アドレス帳で選択ミス - 新潟県
生徒情報含むデータを第三者メアドへ誤送信 - 鹿児島高
「ConnectWise ScreenConnect」に脆弱性 - 修正版が公開
中国電力にサイバー攻撃 - 設定不備のリモート接続機器より侵入
NETSCOUT「nGeniusONE」に複数の脆弱性 - アップデートで修正
Python向けHTTPライブラリに脆弱性 - リクエストスマグリング攻撃のおそれ