情報処理推進機構

企業で使用しているソフトウェアは多岐に渡る。基幹となるオペレーティングシステム、オペレーティングシステム上で使用するソフトウェア、業務に利用している専門システムなどすべてのソフトウェアのセキュリティ脆弱性情報をトレースし、すべてのソフトウェアに対してアップデートを実施することが理想的かもしれないが、実質的にそれは難しい管理状況にあるというのが現実といえる。

現実的に継続可能な管理状態を構築するには、自社のネットワーク構成やソフトウェアの使用状況に応じて、どのソフトウェアに対してはどういった脆弱性が出た場合に対応を実施するのかといった切り分けを実施し、その切り分けに応じて対応するといったやり方が重要になる。

そうした作業の判断材料として活用できる資料が情報処理推進機構(IPA)より「脆弱性を悪用する攻撃への効果的な対策についてのレポート」(PDF)として公開された(概要のPDF)。企業活動におけるセキュリティ対策実施時の問題切り分けの指針として参考になる。