検索
ニュース

Webアプリに絞った脆弱性対策の要求仕様モデル、LASDECが公開「保証期間」を設け追加費用なしでの修正を盛り込む

地方自治情報センター(LASDEC)は10月22日、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開した。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 地方自治情報センター(LASDEC)は10月22日、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開した。地方公共団体がWebアプリケーションを調達する際のセキュリティ要求仕様をひな形としてまとめたもので、一部をカスタマイズし、システム発注時の特記仕様書として利用できる。

 このモデルプランは、Webアプリケーションの脆弱性が問題となり、一部では実際に攻撃を受け、改ざんなどの被害が発生していることを背景に作成された。こうした脆弱性が運用後に見つかると、開発/受け入れ検査時よりも修正が難しく、コストもかさむ。また、その修正費用を発注側と開発側、どちらが負担するかでトラブルになることも珍しくない。

 モデルプランは、Webアプリケーションの脆弱性をなくし、安全に運用するために最低限必要な要求仕様事項を取りまとめたものだ。SQLインジェクションやログイン機能の不備、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、さらには意図しないファイルの公開といった、現在の技術水準で十分に解決可能な脆弱性を具体的に挙げ、それらが混入しないようにWebアプリケーションを構築するよう指示。さらに、認証やセッション管理も含めた「ログイン処理」や「アカウント管理」「ログ出力」「暗号化」といった項目ごとに、要求事項をまとめている。


同モデルプランの遵守状況をチェックできるシートも同時に公開されている

 さらに、「セキュリティ保証期間」(=原則としてシステムの稼働予定期間と同じ)を定め、その期間中に発見された脆弱性については追加費用なしでパッチの開発、提供といった修補を行うか、代替案を提供するという項目も盛り込んでいる。同時に、システムの基盤となるOSやミドルウェアなどについても、セキュリティ保証期間中は脆弱性を修正するパッチが提供されることを確認するよう求めている。

 LASDECではこのモデルプランを活用することで、セキュリティに関する知識の乏しい地方公共団体でも、Webアプリケーションの脆弱性が残ったままの状態でシステムが納入される事態を予防するとともに、運用時に新たに脆弱性が発見された場合でも改修を計画的に進めることを事業者に約束してもらい、セキュアなWebアプリケーションを導入・維持できるようになることを狙っている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
ページトップに戻る