脆弱性対処に向けた製品開発者向けガイド

2020-08-27 独立行政法人情報処理推進機構セキュリティセンター

ガイドの内容

目的

　サイバー攻撃の脅威は高まる一方、製品の脆弱性を網羅的に対処するのは困難です。製品開発者の脆弱性対処状況は一般消費者からの製品評価向上、製品選定の優位性（顧客獲得及び売上等）になりづらい、という課題があるため、結果的に脆弱性対処が進まないという状況となっています。

　このような状況を受け、以下3点を目的に、脆弱性対処に向けた製品開発者向けのガイドを公開しました。

• 製品開発者がセキュリティ対策として実施すべき項目を把握できる
• 実施する対処を徐々にレベルアップできる
• 一般消費者に自組織の取組み状況をアピールするため、すべきことを把握できる

ガイドの特徴

1. 国内外の主要なガイド等から抽出した標準的に実施が求められる対処集
2. チェックリストで自組織の脆弱性対処の状況が把握可能
3. レベル分けした対処方法により、自組織の状況に応じた対処から実施可能
4. 一般消費者にアピールするため、対処の実施状況の開示方法を掲載

ガイド活用により期待される効果

対象

対象製品

　主に、インターネットやホームネットワーク等のネットワークに接続する以下のような機器

• ネットワーク家電（ブルーレイレコーダー、テレビ、エアコン、ロボット掃除機等）
• プリンタ
• ルータ
• ネットワークカメラ
• 玩具、ゲーム機
• スマートフォンやパソコンのアプリケーション　　等

　ただし、工場・プラント等で利用されるような制御機器（PLC（Programmable Logic Controller）、シーケンサ等）については対象外

対象読者

　対象製品の開発を行う事業者（主に中小規模）

ガイドの活用方法

• 製品開発マネージャーが、チェックリストを使って脆弱性対処状況と課題を把握し、上長に報告
• 最大3段階にレベル分けされた対処を自組織の状況に合わせて可能なレベルから検討・実施し、徐々に製品のセキュリティレベルを向上
• 開示すべき対処項目を、組織のウェブページや製品のパッケージ、取扱説明書等で開示

ガイドの基本的な使い方

　このガイドは付属のチェックリストと併せて以下のように利用することができます。

1. チェックリストで自組織の対応状況を確認する

   

2. ガイドを参照しチェック内容をもとに対処内容を確認する

   

3. チェック内容をもとに対応方針を決定する

   

4. ガイドの内容を踏まえて対応する

   

ガイドおよび付属資料

• 脆弱性対処に向けた製品開発者向けガイド（PDF:2.6MB）*日本語のみ*
• チェックリスト（Excel形式：16.4KB）

参考資料

• ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第5版（PDF：367KB）
  • 共通脆弱性評価システムCVSS v3について(付録1)PDF：289KB）
• 組込みソフトウェアを用いた機器におけるセキュリティ（PDFファイル：496KB）
• 組込みソフトウェアのセキュリティ ～機器の開発等における40のポイント～（PDFファイル：270KB）
• 制御システム利用者のための脆弱性対応ガイド 第3版（PDF：1.2MB）
• IoT製品・サービス脆弱性対応ガイド 第1版（PDF：1.8MB）
• 消費者のための「ネット接続製品の安全な選定・利用ガイド」

お問い合わせ

IPA セキュリティセンター