脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開 | ScanNetSecurity
2021.06.13(日)

脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開

一般社団法人コンピュータソフトウェア協会(CSAJ)Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開した。

調査・レポート・白書 調査・ホワイトペーパー
一般社団法人コンピュータソフトウェア協会(CSAJ)Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開した。

同資料は、ソフトウェア開発を行う組織の管理者や責任者を対象に、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめたもの。

同資料はPDF10ページで、その内容は以下の通り。

1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
 (1)契約状況の把握
 (2)プロジェクトの把握
 (3)開発環境や開発に使うソフトウェア情報の把握
 (4)関係者のスキルやリテラシーの把握
 (5)管理体制のメンバーの決定と把握
 (6)ステークホルダー(利害関係者)全体の把握
 (7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
 (1)脆弱性の発見
 (2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
 (3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に

「4.ソフトウェア脆弱性の把握と管理」では、ソフトウェアは元々の思想からも完全なものを作ることは難しく、何かしらの不備や想定していなかったミスなどが生じ、それが脆弱性であるとし、その対応フェーズについて解説。

「脆弱性の発見」では、発見のきっかけとしてOSSの継続的な確認やアップデート、自組織での脆弱性検査、外部からの通報などがあり、その後は組織として発見した脆弱性への対応を検討する「脆弱性の判断と改善」、脆弱性の改善を行う際は情報を外部に発信する「脆弱性の情報開示」がある。開示する際は、脆弱性や対象のソフトウェアの影響が外部に公開されているか否か、脆弱性を悪用する攻撃が確認されているかどうか、ユーザーに適切にバージョンアップを促すことが重要としている。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×