ソフトウェアに関する脆弱性対策

目的・趣旨

政府機関の情報システムに対する脅威としては、第三者が情報システムに侵入し政府の 重要な情報を窃取・破壊する、第三者が過剰な負荷をかけ情報システムを停止させるなどの 攻撃を受けることが想定される。特に、国民向けに提供するサービスが第三者に侵入され、

個人情報等の重要な情報の漏えい等が発生した場合、政府に対する社会的な信用が失われ る。

一般的に、このような攻撃では、情報システムを構成するサーバ装置、端末及び通信回線 装置のソフトウェアの脆弱性を悪用されることが想定される。したがって、政府機関の情報 システムにおいては、ソフトウェアに関する脆弱性について、迅速かつ適切に対処すること が求められる。

なお、情報システムを構成するハードウェアに関しても、同様に脆弱性が存在する場合が あるので、5.2.2項「情報システムの調達・構築」の規定も参照し、必要な対策を講ずる必 要がある。

遵守事項

(1) ソフトウェアに関する脆弱性対策の実施

(a) 情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置の設 置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された 脆弱性についての対策を実施すること。

(b) 情報システムセキュリティ責任者は、公開された脆弱性の情報がない段階にお いて、サーバ装置、端末及び通信回線装置上で採り得る対策がある場合は、当該 対策を実施すること。

(c) 情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置上で 利用するソフトウェアに関連する脆弱性情報を入手した場合には、セキュリティ パッチの適用又はソフトウェアのバージョンアップ等による情報システムへの影 響を考慮した上で、ソフトウェアに関する脆弱性対策計画を策定し、措置を講ず ること。

(d) 情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置上で 利用するソフトウェア及び独自に開発するソフトウェアにおける脆弱性対策の状 況を定期的に確認し、脆弱性対策が講じられていない状態が確認された場合は対 処すること。

【 基本対策事項 】

＜6.2.1(1)(a)(d)関連＞

6.2.1(1)-1 情報システムセキュリティ責任者は、対象となるソフトウェアの脆弱性に関

177 して、以下を含む情報を適宜入手すること。

a) 脆弱性の原因 b) 影響範囲 c) 対策方法

d) 脆弱性を悪用する不正プログラムの流通状況

6.2.1(1)-2 情報システムセキュリティ責任者は、利用するソフトウェアはサポート期間

を考慮して選定し、サポートが受けられないソフトウェアは利用しないこと。

6.2.1(1)-3 情報システムセキュリティ責任者は、構成要素ごとにソフトウェアのバージ

ョン等を把握し、脆弱性対策の状況を確認すること。

＜6.2.1(1)(c)関連＞

6.2.1(1)-4 情報システムセキュリティ責任者は、ソフトウェアに関する脆弱性対策計画

を策定する場合には、以下の事項について判断すること。

a) 対策の必要性 b) 対策方法

c) 対策方法が存在しない場合又は対策が完了するまでの期間に対する一時的な 回避方法

d) 対策方法又は回避方法が情報システムに与える影響 e) 対策の実施予定

f) 対策試験の必要性 g) 対策試験の方法 h) 対策試験の実施予定

＜6.2.1(1)(c)(d)関連＞

6.2.1(1)-5 情報システムセキュリティ責任者は、脆弱性対策を実施する場合には、少なく

とも以下の事項を記録し、これらの事項のほかに必要事項があれば適宜記録するこ と。

a) 実施日

b) 実施内容

c) 実施者

6.2.1(1)-6 情報システムセキュリティ責任者は、セキュリティパッチ、バージョンアップ

ソフトウェア等の脆弱性を解決するために利用されるファイル（以下「対策用ファイ ル」という。）は、信頼できる方法で入手すること。

＜6.2.1(1)(d)関連＞

6.2.1(1)-7 情報システムセキュリティ責任者は、脆弱性対策の状況を確認する間隔は、可

能な範囲で短くすること。

（解説）

遵守事項6.2.1(1)(b)「公開された脆弱性の情報がない段階において、サーバ装置、端末

及び通信回線装置上で採り得る対策」について

脆弱性が明らかになっていない段階においても、サーバ装置、端末及び通信回線装置

178

上で採り得る対策がある場合は、当該対策を実施する。対策としては、特定のメモリ上 の実行権限の削除又はバッファオーバーフローの検知によるアプリケーションの実行 停止等の対策を実施すること等が挙げられる。

遵守事項 6.2.1(1)(c)「サーバ装置、端末及び通信回線装置上で利用するソフトウェア」

について

情報システムの構築時に、ソフトウェアを効率的に開発するためにソフトウェアフ レームワーク開発用のフレームワークとして情報システムに組み込まれたまま納入さ れるソフトウェア等、情報システムの運用中に動作しないものについても考慮する必 要がある。当該ソフトウェアの脆弱性による影響についても考慮し、脆弱性対策の対象 とするソフトウェアを定めておくことが望ましい。

基本対策事項6.2.1(1)-1「情報を適宜入手」について

情報システムを構成するサーバ装置、端末及び通信回線装置上で利用するソフトウ ェアの脆弱性に関する情報は、製品ベンダや脆弱性情報提供サイト等を通じて適時調 査を行う必要がある。自動アップデート機能を持つソフトウェアの場合には、当該機能 を利用して、定期的に脆弱性に関連する情報が報告されているかを確認する方法で差 し支えないが、自動アップデート機能の対象範囲を把握し、対象範囲外のソフトウェア については適時調査を行う必要がある。例えば、ウェブアプリケーション等のソフトウ ェアを効率的に開発するためにソフトウェアフレームワークを利用する場合があるが、

ソフトウェアフレームワークを利用して開発したアプリケーションは自動アップデー トが行えないため、脆弱性の有無については適宜調査を行う必要がある。

入手した脆弱性に関連する情報及び対策方法に関しては、脆弱性対策を効果的に実 施するために、他の情報システムセキュリティ責任者と共有することが望ましい。

基本対策事項6.2.1(1)-1 d)「脆弱性を悪用する不正プログラムの流通状況」について 脆弱性が既知になると、インターネット上の情報交換コミュニティ等を通じて、その 脆弱性を悪用する方法が考案され、その悪用方法を機械的に実行するための不正プロ グラム(exploitコードとも呼ばれる)が作られ、次第に広まっていく。この「脆弱性を悪 用する不正プログラム」が流通している段階に入ると、脆弱性が攻撃されるリスクが格 段に高まると考えられる。脆弱性を悪用する不正プログラムが世の中に流通している ことが確認された場合には、速やかに当該の脆弱性について対処することが望ましい。

基本対策事項6.2.1(1)-2「サポート期間を考慮」について

利用するソフトウェアのサポート期間が過ぎた場合、それ以降はセキュリティ関連 の脆弱性を修正するためのセキュリティパッチは、原則としてソフトウェアベンダか ら提供されなくなる。したがって、情報システムのライフサイクルを考慮し、少なくと も情報システムの次期改修までは対策用ファイルの提供が継続されるソフトウェアを 選定する必要がある。

また、情報システムは特定のソフトウェアバージョンに依存しないよう設計するこ とが望ましいが、情報システムの中には、特定のソフトウェアバージョンに強く依存す る場合がある。この場合には、ソフトウェアをバージョンアップすることが困難となる

179

が、新しいバージョンのソフトウェアでしか対処できない脆弱性が発生したときに、情 報システムの停止という最悪の事態も想定される。したがって、情報システムが特定の ソフトウェアバージョンに依存せざるを得ない場合には、当該ソフトウェアのサポー ト期間を考慮して情報システムの更改について検討しておく必要がある。

基本対策事項6.2.1(1)-2「サポートが受けられないソフトウェア」について

ソフトウェアベンダによるサポートや他の事業者によるサポートサービスが一切受 けられないものを対象としている。ソフトウェアベンダの製品ロードマップの見直し 等により、サポートの打ち切りが突然予告されることもあり得るため、利用するソフト ウェアのサポート期間に関する情報を適時入手し、ソフトウェア更改やサポート事業 者の切替え等の対策が適切に講じられるよう考慮することが望ましい。

基本対策事項6.2.1(1)-3「ソフトウェアのバージョン等を把握」について

把握すべき情報としては、ソフトウェアのバージョンのほか、脆弱性対策の最終実施 日、未実施の脆弱性対策等がある。

基本対策事項6.2.1(1)-3「脆弱性対策の状況を確認」について

OSや各種サーバ、ファイアウォール等の通信回線装置等における脆弱性対策の状況 を効率的に確認する方法として、専用ツールや事業者が提供するサービス等を利用す る脆弱性診断の実施が挙げられる。脆弱性診断には、ソースコード診断、プラットフォ ーム診断、ウェブアプリケーション診断等の種類があり、ソフトウェアの種類によって 利用する脆弱性診断を使い分ける必要がある。

ソースコード診断では、独自に開発したソフトウェアのソースコードを対象に、静的 解析ツール等を用いて脆弱性の有無を検証する。したがって、運用開始までにソースコ ード診断を実施し、運用開始後にソースコードへ修正を加えた場合は、再度診断を実施 することが望ましい。

プラットフォーム診断では、OSや各種サーバ、ファイアウォール等を対象に、テス ト用の通信パケットを送信するなどの方法によって、最新のセキュリティパッチが適 用されているか、設定が適切に行われているか、不要な通信ポートが開いていないかな どを検証する。したがって、運用開始までにプラットフォーム診断を実施し、その後も 例えば年に１回診断を実施するなど、定期的に実施することが望ましい。

ウェブアプリケーション診断では、独自に開発したウェブアプリケーションを対象 に、実際に不正なデータをウェブアプリケーションに送信するなどの方法によって、

SQL インジェクションやクロスサイトスクリプティング等の脆弱性が存在しないかを 検証する。したがって、運用開始までにウェブアプリケーション診断を実施し、運用開 始後においても、ウェブアプリケーションへ修正を加えた場合や新たな脅威が確認さ れた場合は、再度診断を実施することが望ましい。

基本対策事項6.2.1(1)-4 c)「一時的な回避方法」について

ソフトウェアにおいて脆弱性が顕在化した際に、ソフトウェアベンダが対応するま での間は、当該ソフトウェアの利用を禁止する又は脆弱性が関係する機能を無効化す るなどの対応が必要となる。