« 内閣府 国民生活における安全・安心の確保策に関する検討委員会 | Main | 内部統制の監査意見形成のための論点整理 »

2007.03.27

JNSA 脆弱性定量化に向けての検討報告書を公表

 こんにちは、丸山満彦です。JNSAから「2006年度 脆弱性定量化に向けての検討報告書」が公表されていますね。。。
 報告書の「経緯と目的」から・・・
=====
ベンダ各々が独自の判断で脆弱性の危険度を報告しており、同じ「危険度高」であっても、A社とB社ではその判断基準が違っていたり、判断基準そのものが公開されていないといった状況であった。このような中で、ベンダの差に依存しない脆弱性の定量化が可能なのかどうなのかということの検討をはじめたことが、本WG発足の契機であり目的であった。
=====
 なかなか意欲的な報告書ですね。。。

 
【JNSA】
・2007.03.26 2006年度 脆弱性定量化に向けての検討報告書
・・報告書PDF (1MB)
・・アンケート結果とトリアージ値(TV)の比較 (---KB)

=====
サーバ管理者に代表されるユーザを主体とした立場での考え方を中心としてWG 内の議論が進められた。この部分は、WG 発足当初から貫かれた立場であり、本報告書のひとつの特徴である。
=====
なるほど・・・

=====
パッチ適用に伴うリスクは無視できないという立場を保っている。やもすると、最近はこのようなリスクに不感症になり、パッチがリリースされればとりあえずその全部を適用するといったアプローチが一般化している感があるが、このような考え方とは、あえて一線を画し、パッチ適用のリスクを前提とした内容である点に留意願いたい。
=====
 パッチの品質も問題になっていますからね・・・

 
【参考】このブログ
・2006.10.12 JNSA アンケート 脆弱性定量化に向けての検討WG



【過去の今日】
・2006.03.27 AERA 生体認証は信用できない
・2005.03.27 米国金融当局 個人情報流出時の対応手順を銀行に通達

|

« 内閣府 国民生活における安全・安心の確保策に関する検討委員会 | Main | 内部統制の監査意見形成のための論点整理 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference JNSA 脆弱性定量化に向けての検討報告書を公表:

« 内閣府 国民生活における安全・安心の確保策に関する検討委員会 | Main | 内部統制の監査意見形成のための論点整理 »