技術的ぜい弱性の管理に関するガイドライン
令和7年8月29日|p.138
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
8 1 (合 961 ) ) ) (
88. 61號第1號) 月 號 月 167日
8b-8.8技術的ぜい弱性の管理
管理策:利用中の情報システムの技術的ぜい弱性に関する情報を獲得する。また、そのような
ぜい弱性に組織がさらされている状況を評価し、適切な手段をとる。
目的:技術的ぜい弱性の悪用を防止するため、
詳細管理策
【技術的ぜい弱性の特定】
8b-8.8.1
組織は、効果的な技術的ぜい弱性管理の前提条件として、正確な資
産の目録をもつ。
th-8.8.2資産の目録には、ソフトウェア業者、ソフトウェア名、版番号、配
置状況、及びそのソフトウェアに責任のある組織内の担当者を含め
る。
8b-8.8.3技術的ぜい弱性を特定するために、組織は次の事項を考慮する。
a)技術的ぜい弱性の管理に関連する役割及び責任を定め、確立
する。技術的ぜい弱性の管理には、ぜい弱性監視、ぜい弱性
に関わるリスクアセスメント、更新、資産移動の追跡、及び
要求される全ての調整責務が含まれる。
b)ソフトウェア及びその他の技術に関して、関連する技術的ぜ
い弱性を特定し、また、ぜい弱性を継続して認識するために
用いる情報源を特定する。情報源のリストは、この目録を変
更したとき、又は他の新しい若しくは有益な情報源を発見し
たときに更新する。
c)情報システム(その構成要素を含む。)の供給者に、適用され
る契約に要求事項を含め、ぜい弱性の報告、取扱い及び開示
を確実にすることを要求する。
d)ぜい弱性を特定し、ぜい弱性のパッチ適用が成功したかどう
かを検証するために、使用している技術に適したぜい弱性ス
キャンツールを使用する.
e)ぜい弱性の特定を支援するために、力量があり認可された者
が、計画され、文書化された、再現可能な侵入テスト又はぜ
い弱性アセスメントを実施する。この活動はシステムのセキュ
リティを危うくする可能性があるため、注意を払う。
f)第三者のライブラリ及びソースコードの使用について、ぜい
弱性を追跡する。これはセキュリティに配慮したコーディン
グに含める。
8b-8.8.4組織は、次の事項のための手順及び能力を開発する。
a)自らの製品及びサービス並びにこれらで使用している外部の
構成要素について、ぜい弱性の存在を検知する。
b)内部又は外部の供給元からぜい弱性報告を受け取る。
8b-8.8.5組織は、調査者及び他の人が問題を報告できるように、ぜい弱性の
開示に関するトピック固有の方針の一部として公開連絡先を示す。
8b-8.8.6
組織は、ぜい弱性の報告手順、オンライン報告書式を確立し、適切
"な脅威インテリジェンス又は情報共有の場を利用する。
80-8.8.7組織は、ぜい弱性を適切に修復するために、組織におけるぜい弱性
の特定を支援する動機付けとして、報酬を提供するバグ報奨金プロ
グラムの採用を検討する。
8b-8.8.8組織が力量のある業界団体又は他の利害関係者と情報を共有する。
【技術的ぜい弱性の評価】
8b-8.8.9
特定した技術的ぜい弱性を評価するために、次の手引を考慮する。
a)どのような対応及び修復活動が必要かを決定するために、報
告書を分析及び検証する.
b)潜在的な技術的ぜい弱性を特定したときは、それに伴うリス
ク及び講じるべき処置を特定する。
(8b-8.8.9参考)この処置は、ぜい弱性のあるシステムの更新又は他の管理策の適用
を含む可能性がある。
【技術的ぜい弱性に対処するための適切な対策の実施】
8b-8.8.10
認可された全てのソフトウェアに、最新の承認済みバッチ及びアプ
リケーション更新を適用することを確実にするために、ソフトウェ
ア更新管理プロセスを実装する。
8b-8.8.11
変更が必要な場合は、元のソフトウェアを保持し、指定された複製
に変更を適用する。
8b-8.8.12
全ての変更は、必要に応じて将来のソフトウェアアップグレードに
再適用できるように、完全に試験し、文書化する。
8b-8.8.13
必要に応じて、独立した評価機関がソフトウェアの変更を試験し、
妥当性を確認する.
8b-8.8.14
技術的ぜい弱性に対処するために、次の手引を考慮する。
a)潜在的な技術的ぜい弱性の特定に対応して、適切に、かつ、
時機を失せずに処置を講じる。関係する可能性のある技術的
ぜい弱性の通知に対応するためのタイムラインを定義する
b)技術的ぜい弱性への対処の緊急性に応じて、変更管理に関す
る管理策又は情報セキュリティインシデント対応手順に従っ
て、処置を実行する。
c)正当な供給元(組織の内部又は外部の可能性がある)からの
更新だけを使用する。
d)更新を適用する前に、それが有効であること及び耐えられな
い副作用をもたらさないことを確実にするために、更新を試
験し、評価する。
e)リスクの高いシステムには最初に対処する。
f)修復(一般にはソフトウェアの更新又はパッチ)を開発する。
g)修復又は低減策が効果的であるかどうかを確認するために試
験する。
h)修復の真正性を検証する仕組みを提供する。
i)利用可能な更新がない場合、又は更新を適用できない場合は、
次のような他の管理策を検討する。
1)ソフトウェア業者又はその他の関連供給元が提案する
回避策を適用する。
2)そのぜい弱性に関係するサービス又は機能を停止する。
3)ネットワーク境界におけるアクセス制御を調整又は追
加する。
4)ぜい弱なシステム、装置・機器又はアプリケーション
を、適切なトラフィックフィルタ(ときに仮想パッチ
と呼ばれる。)を導入して攻撃から保護する。
5)実際の攻撃を検知するために、監視を強化する。
6)そのぜい弱性に対する認識を高める。