今日はセキュリティ関連の話題を。というのも、6月にIPA(独立行政法人情報処理推進機構)が公開した「ウェブサイト構築事業者のための脆弱性対応ガイド」という資料が非常にわかりやすかったからです。
IPA(独立行政法人情報処理推進機構)が2009年6月8日に、「ウェブサイト構築事業者のための脆弱性対応ガイド」を公開しました。
昨年は「ウェブサイト運営者のための脆弱性対応ガイド」でしたから、これで発注側向けと受注側向けの、Webサイトのセキュリティに関するIPAのガイドが揃ったことになります。
・ウェブサイト構築事業者のための脆弱性対応ガイド
→ http://www.ipa.go.jp/security/fy20/reports/vuln_handling/ (解説)
→ http://www.ipa.go.jp/security/ciadr/vuln_sier_guide.pdf (本文PDF)
・ウェブサイト運営者のための脆弱性対応ガイド
→ http://www.ipa.go.jp/security/fy19/reports/vuln_handling/ (解説)
→ http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf (本文PDF)
そもそも、このガイドの公開のリリースにある
“このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予算が十分に確保されていないケースが少なくないことが判明しました。”
といった部分が、Webサイトのセキュリティ問題の根本を的確に表しているとは思うのですが、とはいえ現実的に、そういった状況でもサイトは作られ続けているわけで、受注側がしっかりしておかなきゃいけない面も多々あるのです。
とはいえシステム屋さんと違ってWebサイト制作会社さんはセキュリティの技術的な部分に明るくない場合が多いですよね。
でも、この「ウェブサイト構築事業者のための脆弱性対応ガイド」は、難しい技術的なことを説明するのではなく、制作会社さん向けの現実的な基礎解説になっているので安心してください。
たとえば、
・ 納入後に公表された新規の脆弱性対策は有償? 無償?
・ 既知の重要な脆弱性対策は有償? 無償?
・緊急事態時の費用負担は?
といった、お金に関して押さえておくべき点や、
“仕様におけるセキュリティ要件が曖昧であったために、本来は契約外である脆弱性対策の負担をウェブサイト構築事業者に求められることがあります。”
といった、契約でありがちな落とし穴、
“予算や開発期間を抑制するため、サンプルプログラムを流用することもありますが、そこに脆弱性が含まれているケースが見られます。”
続きは会員限定です。無料の読者会員に登録すると続きをお読みいただけます。
-
会員登録
(無料)
-
ログインはこちら
この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします
関連記事
2009.02.10
2015.01.26
安田 英久
株式会社インプレスビジネスメディア Web担当者Forum編集長
企業のウェブサイト活用やウェブマーケティングに関するメディア「Web担当者Forum」(http://web-tan.forum.impressrd.jp/)を運営しています。
フォローして安田 英久の新着記事を受け取る
