サイト納品後のセキュリティ修正は有償? 無償?/安田 英久
今日はセキュリティ関連の話題を。というのも、6月にIPA(独立行政法人情報処理推進機構)が公開した「ウェブサイト構築事業者のための脆弱性対応ガイド」という資料が非常にわかりやすかったからです。
IPA(独立行政法人情報処理推進機構)が2009年6月8日に、「ウェブサイト構築事業者のための脆弱性対応ガイド」を公開しました。
昨年は「ウェブサイト運営者のための脆弱性対応ガイド」でしたから、これで発注側向けと受注側向けの、Webサイトのセキュリティに関するIPAのガイドが揃ったことになります。
・ウェブサイト構築事業者のための脆弱性対応ガイド
→ http://www.ipa.go.jp/security/fy20/reports/vuln_handling/ (解説)
→ http://www.ipa.go.jp/security/ciadr/vuln_sier_guide.pdf (本文PDF)
・ウェブサイト運営者のための脆弱性対応ガイド
→ http://www.ipa.go.jp/security/fy19/reports/vuln_handling/ (解説)
→ http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf (本文PDF)
そもそも、このガイドの公開のリリースにある
“このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予算が十分に確保されていないケースが少なくないことが判明しました。”
といった部分が、Webサイトのセキュリティ問題の根本を的確に表しているとは思うのですが、とはいえ現実的に、そういった状況でもサイトは作られ続けているわけで、受注側がしっかりしておかなきゃいけない面も多々あるのです。
とはいえシステム屋さんと違ってWebサイト制作会社さんはセキュリティの技術的な部分に明るくない場合が多いですよね。
でも、この「ウェブサイト構築事業者のための脆弱性対応ガイド」は、難しい技術的なことを説明するのではなく、制作会社さん向けの現実的な基礎解説になっているので安心してください。
続きはこちら
IPA(独立行政法人情報処理推進機構)が2009年6月8日に、「ウェブサイト構築事業者のための脆弱性対応ガイド」を公開しました。
昨年は「ウェブサイト運営者のための脆弱性対応ガイド」でしたから、これで発注側向けと受注側向けの、Webサイトのセキュリティに関するIPAのガイドが揃ったことになります。
→ http://www.ipa.go.jp/security/fy20/reports/vuln_handling/ (解説)
→ http://www.ipa.go.jp/security/ciadr/vuln_sier_guide.pdf (本文PDF)
・ウェブサイト運営者のための脆弱性対応ガイド
→ http://www.ipa.go.jp/security/fy19/reports/vuln_handling/ (解説)
→ http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf (本文PDF)
そもそも、このガイドの公開のリリースにある
“このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予算が十分に確保されていないケースが少なくないことが判明しました。”
といった部分が、Webサイトのセキュリティ問題の根本を的確に表しているとは思うのですが、とはいえ現実的に、そういった状況でもサイトは作られ続けているわけで、受注側がしっかりしておかなきゃいけない面も多々あるのです。
とはいえシステム屋さんと違ってWebサイト制作会社さんはセキュリティの技術的な部分に明るくない場合が多いですよね。
でも、この「ウェブサイト構築事業者のための脆弱性対応ガイド」は、難しい技術的なことを説明するのではなく、制作会社さん向けの現実的な基礎解説になっているので安心してください。
続きはこちら
