情報処理推進機構（IPA）は3月30日、Webサイトの脆弱性対策を促進するため、小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえて「企業ウェブサイトのための脆弱性対応ガイド」 を改訂し、公開した。

 IPAは2004年7月から、ソフトウェア製品やWebアプリケーションなどにおける脆弱性関連情報の届出受付業務を担い、これまでに累計16,225件の届出を受けてきた。その内訳はWebサイトに関するものが11,526件、ソフトウェア製品に関するものが4,699件で、Webサイトに関する届出が全体の約7割を占める。IPAは受け取った情報に関してWebサイト運営者に通知して修正を促しているが、小規模Webサイトでは脆弱性への修正対応がなされないケースも多く、脆弱性対策を進める上で大きな課題となっている。

 IPAはこれらの調査結果をもとに、「情報システム等の脆弱性情報の取扱いに関する研究会」で、これまで調査してきた結果も踏まえて課題への対処方法を検討した。その結果、脆弱性対策に必要となる情報を集約し、基本的な知識から技術習得のための情報までをまとめた形で小規模のWebサイト運営者に対して提供することを目的に「企業ウェブサイトのための脆弱性対応ガイド」 を改訂した。8年ぶりとなる今回の改訂では、実際の被害事例を刷新し、クラウドサービスの利用や外部委託先に依頼する際に検討すべき点を追加するなど、8年間の変化を踏まえた最新の情報に差し替えている。Webサイトの脆弱性対策のポイントを7項目に大別して具体的な対応に役立つ情報をリンクで明示し、対策の要否に関するチェックリストを紹介するなどして、小規模ウェブサイト運営者が抱える課題に対処している。

 「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」は、IPAのWebサイトからダウンロード可能。また、本調査を含む「情報システム等の脆弱性情報の取扱いに関する研究会」の調査実施報告書も、「情報システム等の脆弱性情報の取扱いに関する研究会　2020年度報告書」として公開している。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース