Webアプリに絞った脆弱性対策の要求仕様モデル、LASDECが公開:「保証期間」を設け追加費用なしでの修正を盛り込む
地方自治情報センター(LASDEC)は10月22日、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開した。
地方自治情報センター(LASDEC)は10月22日、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開した。地方公共団体がWebアプリケーションを調達する際のセキュリティ要求仕様をひな形としてまとめたもので、一部をカスタマイズし、システム発注時の特記仕様書として利用できる。
このモデルプランは、Webアプリケーションの脆弱性が問題となり、一部では実際に攻撃を受け、改ざんなどの被害が発生していることを背景に作成された。こうした脆弱性が運用後に見つかると、開発/受け入れ検査時よりも修正が難しく、コストもかさむ。また、その修正費用を発注側と開発側、どちらが負担するかでトラブルになることも珍しくない。
モデルプランは、Webアプリケーションの脆弱性をなくし、安全に運用するために最低限必要な要求仕様事項を取りまとめたものだ。SQLインジェクションやログイン機能の不備、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、さらには意図しないファイルの公開といった、現在の技術水準で十分に解決可能な脆弱性を具体的に挙げ、それらが混入しないようにWebアプリケーションを構築するよう指示。さらに、認証やセッション管理も含めた「ログイン処理」や「アカウント管理」「ログ出力」「暗号化」といった項目ごとに、要求事項をまとめている。
さらに、「セキュリティ保証期間」(=原則としてシステムの稼働予定期間と同じ)を定め、その期間中に発見された脆弱性については追加費用なしでパッチの開発、提供といった修補を行うか、代替案を提供するという項目も盛り込んでいる。同時に、システムの基盤となるOSやミドルウェアなどについても、セキュリティ保証期間中は脆弱性を修正するパッチが提供されることを確認するよう求めている。
LASDECではこのモデルプランを活用することで、セキュリティに関する知識の乏しい地方公共団体でも、Webアプリケーションの脆弱性が残ったままの状態でシステムが納入される事態を予防するとともに、運用時に新たに脆弱性が発見された場合でも改修を計画的に進めることを事業者に約束してもらい、セキュアなWebアプリケーションを導入・維持できるようになることを狙っている。
Copyright © ITmedia, Inc. All Rights Reserved.