« 経済産業省 ロボット政策研究会報告書 | Main | 個人情報 一人6000円の賠償 »

2006.05.20

IPA 情報システム等の脆弱性情報の取扱いに関する研究会報告書

 こんにちは、丸山満彦です。IPAから、情報システム等の脆弱性情報の取扱いに関する研究会の報告書が公表されていますね。

IPA
・2005.05.18 組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ、公表
・2005..05.18 情報システム等の脆弱性情報の取扱いに関する研究会 報告書

現場技術者向け手引書『組込みソフトウェアのセキュリティ ~機器の開発等における40のポイント~

政府統一基準やJIS Q 27002、COBITとの対比表がほしいところです。

とりあえず表にまとめてみました。

 

 

管理面

 

技術面

1

1

プロジェクト監査組織(プロジェクトマネジメントオフィス)にセキュリティ担当者を配置する

6

脆弱性情報、攻撃情報を初めとする各種のセキュリティ関連情報を参照し、各工程において適切な対策を実践する

ライフサイクル全体

2

開発技術者と開発管理者全員に対してセキュリティ教育を実施する

 

 

 

3

セキュリティに係わる開発の外部委託先等に対して、自社と同程度のセキュリティ技術レベルの向上を求める

 

 

 

4

開発プロセス標準の全てのアクティビティにおいて、セキュリティに係わる実施項目を設定する

 

 

 

5

脆弱性情報、攻撃情報を初めとする各種のセキュリティ関連情報を収集し、技術者に対して周知徹底する

 

 

2

7

組込み機器の非機能要件の一つとしてセキュリティに対する要件が明確化され、かつ文書化されていることを確認する

10

製品が利用される可能性のある接続形態や動作環境および利用形態を想定して、セキュリティに係わるリスクを定義する

企画

8

コールセンターと不具合対策部署に対するセキュリティ教育を、製品出荷前から以後定期的に実施する

11

制約条件を考慮して、実装予定の機能に対して、定義されたリスクに対する対策方針(セキュリティ方針)を明確にする

フェーズ

9

セキュリティ上のトラブルを解消するための対策プログラムの発信方法を策定する

12

ユーザによる設定変更の可否や手法および誤操作・誤設定に関して、セキュリティ上のリスクを勘案して決定する

 

 

 

13

一般のユーザに馴染みの無い機能または普段使用されることが少ない機能については、特に安全側を意識した設定を行う

 

 

 

14

セキュリティ方針を考慮し、組込み機器の仕様を決定する

 

 

 

15

セキュリティに関するログ保存機能を設定する

 

 

 

16

ネットワーク経由で正当と想定されるアクセスとは異なるアクセスが検出できた場合、他の警告と区別できる形でユーザに警告する機能を備える

 

 

 

17

ユーザの機密データの廃棄をサポートする機能を実装する

3

18

ソフトウェア開発にセキュリティ技術に関するドメインスペシャリスト(専門家)を参画させる

22

データを機密度に応じて区分し、ハードウェアおよびソフトウェアの保護機能を考慮し、データの物理的および論理的配置を決定する

設計

19

外部から導入するソフトウェアについて、セキュリティに関する基準を明確に定義し文書化する

23

機密度の異なるデータの扱い方を考慮し、プログラムの実行単位とプロセッサへの配置を決定する

フェーズ

20

完成時のセキュリティ検査について観点・項目を整理しておく

24

特権モードをサポートする実行環境においては、特権モードによるプログラムの実行は必要最小限にする

 

21

インターネットアプリケーションの利用にあたっては、選定から動作設定・テストに係わる一連の作業をセキュリティ専門家に担当させる

25

ハードウェアの物理的な破壊や記憶領域の覗き見などの攻撃にも配慮する

 

 

 

26

ネットワークに接続される組込み機器においては外部からの攻撃を受けることを想定し、ネットワークデバイスとプロトコルスタックに関して、攻撃を無視する設定で使用する

 

 

 

27

出荷テスト用インタフェース回路など出荷検査や開発時のテストに用いられる機能等一般ユーザの利用を想定していない機能には、厳密なアクセス制限を設ける

4

28

開発成果物の実利用環境における攻撃実験体制を整備する

30

攻撃者が処理系のメモリ管理の弱点を悪用して攻撃コードを実行することが不可能にする

実装

29

脆弱性対応に備えたコードの出所・版管理を行う

31

ネットワーク接続されるインタフェース全てについて、(不正侵入テストを含む)攻撃テストを実施する

フェーズ

 

 

32

機器の動作状態の観測による攻撃テストを実施する

 

 

 

33

セキュリティの視点に係わるテスト項目を定義し、実装工程における必要な項目に基づくテストを行う

5

34

セキュリティの障害に係わる情報は、ユーザに対して適切に告知を行う

37

コールセンターが最新のセキュリティに係わる状況を踏まえ適切に対応する

運用

35

外部から脆弱性情報およびそれに関係する情報がもたらされた際に適切な取扱いが行えるようにする

 

 

フェーズ

36

脆弱性の発見に備えて情報管理・収集・分析に努める

 

 

6

38

マニュアルに、ネットワーク接続を行う機器において、他の機器やネットワークとの接続を切断する等の緊急避難的処理の手段を明記する

 

 

その他の配慮事項

39

マニュアルに、ユーザが行うべき機密データの廃棄手順を明記する

 

 

 

40

製品カタログ・マニュアル等にネットワークに接続する際のセキュリティ上の注意事項を示す

 

 

|

« 経済産業省 ロボット政策研究会報告書 | Main | 個人情報 一人6000円の賠償 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference IPA 情報システム等の脆弱性情報の取扱いに関する研究会報告書:

« 経済産業省 ロボット政策研究会報告書 | Main | 個人情報 一人6000円の賠償 »