脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS(Common Vulnerability Scoring System)基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が脆弱性そのものの深刻度を評価する点では有用であるものの、脆弱性の悪用状況やユーザの環境情報を考慮していないため、脆弱性対応の優先度を決定するために、単体で使用するのは適切ではないと考えた。また、CVSSやEPSS(Exploit Prediction Scoring System)などのリスク評価値を脆弱性対応の優先度付けに使用する場合、適切な閾値を設定する必要があると判断した。これらを踏まえて、評価値の妥当性や効率的な運用方法がないかという点につ
情報処理推進機構が管理者向け「重要情報を扱うシステムの要求策定ガイド」を公開
情報処理推進機構(IPA)は2023年7月18日、「重要情報を扱うシステムの要求策定ガイド」を公開した。通信や電力、鉄道などの重要情報を扱うシステムでは、サービスの安定供給が求められる。そのシステムのオーナーである管理者が、自律性と利便性の観点からシステムの特性を踏まえて問題やリスクを分析し、自ら必要な対策や要求仕様を策定できるよう支援するのが目的だ。経済産業省からの要請を受けて作成した。 ガイドでは管理者がベンダーに要求すべき項目を次の3ステップを通して策定するよう示した。(1)システムの特性評価(2)問題・リスク、利便性要素の選定(3)必要な対策の選定だ。 (1)ではシステムの特性を9項目に分けて表に記載し、評価する。例えば自律性に関しては、データが漏洩したり改ざんされたりした場合の影響や、データが利用できなくなったりシステムが停止したりした場合の影響などを記載する。データ漏洩や改ざん
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
