IPA、「企業ウェブサイトのための脆弱性対応ガイド」を8年ぶりに改訂

　IPA（独立行政法人情報処理推進機構）は、小規模ウェブサイト運営者301社へのアンケート調査結果を踏まえ、8年ぶりに改訂した「企業ウェブサイトのための脆弱性対応ガイド」を3月30日に公開した。

　IPAでは、2004年7月よりソフトウェア製品やウェブアプリケーション等における脆弱性関連情報の届出受付業務を担い、これまでに累計1万6225件の届出を受けてきた。そのうち、ウェブサイトに関する届出が全体の約7割を占める。IPAは受け取った情報に関してウェブサイト運営者に通知し修正を促しているものの、小規模ウェブサイト運営者においては脆弱性への修正対応がなされないケースも多く、脆弱性対策を進める上で課題となっていた。

　このため、IPAでは2020年12月に、小規模ウェブサイト運営者301社から脆弱性対処の現状に関するアンケート結果を回収し、2012年度に行った調査との経年比較や課題の抽出、課題への対処方法の検討を行った。

　アンケート調査の結果、ウェブサイトの重要性が高まるなか、この10年程度のセキュリティ対策コストは変わっていないこと、脆弱性対策を進める上での課題として、技術の習得や情報の入手・選別が難しいことをあげる割合が高いことが分かった。

　これらの調査結果をもとにIPAは、小規模のウェブサイト運営者に対して提供することを目的に「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。2013年の公開から8年ぶりとなる今回の改訂では、実際の被害事例を刷新し、クラウドサービスの利用や外部委託先に依頼する際に検討すべき点を追加するなど、8年間の変化を踏まえた最新の情報に差し替えている。

　本ガイドおよび、アンケート調査結果と分析をまとめた「小規模ウェブサイト運営者の脆弱性対策に関する調査報告書」は、IPAのウェブサイトよりダウンロードが可能。また、本調査を含む「情報システム等の脆弱性情報の取扱いに関する研究会　2020年度報告書」も同時に公開している。