SQオンライン

＜情報処理推進機構の記事から抜粋＞

IPA（独立行政法人情報処理推進機構、理事長：富田 達夫）は、正しい脆弱性情報の発見・報告方法の理解と倫理観の向上のため、全8編の短編動画「脆弱性発見・報告のみちしるべ～発見者に知っておいて欲しいこと～」を公開しました。

IPAはこれまで、脆弱性関連情報の届出の受付機関(*1)として、その適切な流通と対策の促進を目的に業務を担ってきました。しかし当初は“脆弱性”という言葉はほとんど知られておらず、ごく一部の専門家以外に、脆弱性の問題と対策の重要性は認識されていませんでした。
 その後、2013年以降には、複数の国内組織や政府機関のウェブサイトで、使用されていたCMS(*2)の脆弱性が悪用され、改ざんの被害が発生したことがありました。このようなインシデントを経て、その原因である“脆弱性”の存在と問題が徐々に認識されるようになりました。それと共に、脆弱性の発生原因および再現方法を理解することが開発者にも求められるようになりました。加えて、脆弱性報奨金制度を採用する開発企業も徐々に増え、善意の発見者による脆弱性報告に対しても社会の理解が進みました。
 その発見者には、脆弱性の正しい扱い方や倫理観が必要です。それを誤るとトラブルに発展する可能性もあり、IPAは、脆弱性の発見や取扱いに関して、これまで文字中心の説明資料で理解を促してきました。
 本日公開した短編動画は、脆弱性の発見を行う初学者向けで、視覚的な訴求力を高めるため、既存資料をスライドショーとして再構成したものです。各動画の再生時間は2～3分程度で、すきま時間に視聴することができます。また個人学習やワークショップ、教育機関での教材としての活用を想定し、全8編をまとめた統合版も用意しました。

(*1) 2004年7月に経済産業省の告示に基づき策定された、情報セキュリティ早期警戒パートナーシップガイドラインに則り、事業を実施
https://www.meti.go.jp/policy/netsecurity/vulinfo.html

(*2) Contents Management Systemの略。主なソフトウェアにはWordPress、Drupal、Movable Typeなどがある。

本記事の詳細はIPAのページよりご覧ください。

＜出典：IPAのウェブサイトを加工して作成＞
https://www.ipa.go.jp/about/press/20200406.html