12月7日(木)、JISA会議室で、先進技術実践委員会・情報セキュリティ部会(部会長:柴崎正彦(株)網屋取締役)が開催された。参加者は9名。
冒頭、事務局より先進技術委員会で活動状況の報告を行ったこと、会員企業(ソフト開発企業)の参考に資する活動方法を検討して欲しい旨リクエストがあったことを紹介した。続いて、IPAの脆弱性対策に関する取り組みについて紹介が行われた。
情報セキュリティ早期警戒パートナーシップにより脆弱性対応を促すこと、啓発用の資料や体験ツールを作成していること、脆弱性の有無を調べるためのツール等を提供していること、ポータルサイトJVNで情報提供や注意喚起を行っていることが紹介された。
次に、システム脆弱性への全社的対応体制についての事例紹介が行われた。
事例では、全社対応させるために情報セキュリティ部が設置されていること、各事業本部毎およびシステム毎にその事業部/システムの実情を理解している現場のセキュリティ担当者が置かれていること、情報セキュリティ部からは脆弱性情報と対応要否、緊急性の判断、対応策についての情報提供が現場担当者に対し行われていること等、現場の担当者が対応結果を情報セキュリティ部に報告し、データベース化していること等が紹介された。
SI提供し運用しているシステム、ASPサービスについては、重大な脆弱性(権限昇格やサービス停止の蓋然性があるもの)が明らかになり次第対応が講じられている。
その後、以下のような議論も行われた。
- 自分たちが開発・作成したシステム/プログラムの脆弱性を把握しておく必要がある。
- 脆弱性情報については、既知の情報・公開された情報のみに頼らず、できるだけ早く自社で収集し、対顧客への情報提供や影響度合いを把握しておく必要がある。
- 自社でサービスとして提供しているものについては対策が容易だが、保守契約がない形でシステムが顧客に納入されている場合等は、対応が難しい場合もある。
- まずはパッチ当てで対応することである程度はカバーできる(特にPCレベルのもの)。
次回は、マルウェア対策について検討を行ってみることとした。2月6日(15:00-17:00)に開催予定。
(山本)