情報処理推進機構(IPA)は5月18日,組み込みソフトウエアにおけるセキュリティ対策のポイントなどをまとめた「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」を公表した。
同報告書は,2005年12月から開催された研究会「情報システム等の脆弱性情報の取扱いに関する研究会」の検討成果をまとめたもの。報告書には,組み込みソフトウエアを用いた機器(組込み機器)のベンダーの経営者と技術者に向けた情報が含まれている。
経営者向けの情報としては,組み込みソフトウエアのセキュリティが原因のトラブル事例や,トラブルが発生した場合のビジネスへのインパクト,その対応策などを紹介している。
技術者向けの情報としては,組み込みソフトウエアのライフサイクルの各工程(企画から廃棄まで)における,管理面および技術面の“40のポイント”がまとめられている。例えば,「企画」段階のポイントとしては,「一般のユーザーに馴染みの無い機能または普段使用されることが少ない機能については,特に安全側を意識した設定を行う」,「実装」のポイントとしては「ネットワーク接続されるインタフェースすべてについて,攻撃テストを実施する」ことなどを挙げている。
報告書の全文は,IPAのWebサイトからダウンロードできる。
◎参考資料
◆組込みソフトウェアのセキュリティ対策のポイント集などをとりまとめ,公表
◆情報システム等の脆弱性情報の取扱いに関する研究会 報告書
