「組み込みソフトウェアのセキュリティ対策、ここに留意を」――IPAが文書公開

情報処理推進機構は5月18日、組み込みソフトウェアのセキュリティ対策のポイントなどをまとめた「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」を公開した。

[ITmedia]

　情報処理推進機構（IPA）は5月18日、組み込みソフトウェアのセキュリティ対策向上に向け、対策のポイントなどをまとめた「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」を公開した。

　組み込みソフトウェアを用いた情報家電などが普及し、インターネットに接続されるようになるにつれ、その脆弱性が大きなインパクトを及ぼす可能性が懸念されるようになった。しかも情報家電の場合、ユーザーの情報セキュリティに対する知識が十分であるとはいいがたい。また、出荷後に脆弱性が発見されると、その修正のために回収などの手間が必要となり、多くのコストを要することにもなる。

　情報システム等の脆弱性情報の取扱いに関する研究会ではこうした状況を踏まえ、組み込みソフトウェアのセキュリティ対策を推進するための検討を進めてきた。公表された報告書はその成果をまとめたもの。

　報告書は大きく2種類に分かれている。1つは、組み込みソフトウェアの生産／販売を行う企業の経営層や管理層をターゲットとしたもので、組み込み機器がどういったリスクを抱えているかを説明するとともに、脆弱性対策が不十分だった場合にどんな影響があるかを紹介している。

　もう1つは、現場の技術者に向けた資料で、商品企画から要件開発、設計、実装、検証および保守運用の各フェーズごとに留意すべきポイント40項目をまとめた。その中には、セキュリティ教育の実施、開発プロセス標準のすべてのフェーズにセキュリティに関する実施項目を設定する、といった項目が含まれている。