セキュリティ問題とは何か?~セキュリティパッチ管理及びその他の問題事例から~
ダウンロード数: 635回
発表場所 : SQiP研究会
主査 : 田山 晴康 (日立製作所)
副主査 : 相原 一博 (セゾン情報システムズ)
執筆者 : 横井 賢一 (アスプコミュニケーションズ) 、中嶋 寛直 (セゾン情報システムズ) 、澤中 克之 (東京海上日動システムズ) 、小川 泰子 (CIJ)
副主査 : 相原 一博 (セゾン情報システムズ)
執筆者 : 横井 賢一 (アスプコミュニケーションズ) 、中嶋 寛直 (セゾン情報システムズ) 、澤中 克之 (東京海上日動システムズ) 、小川 泰子 (CIJ)
紹介文 :
・パッチの情報を追いかけ適用について。特にパッチ起因の障害発生の可能性とパッチ検証の工数猶予がない問題を解説。NISTの文献 SP800-40(Procedures for Handling Security Patches:米国国家の連邦組織利用のパッチ適用標準)を中心に研究した成果が記載されている。
・また当該NIST基準について国内で展開した場合での弊害/課題についても深く考察されており、2005年当時の課題が今でも有効である点は特筆に値する。(例:NIST標準の適用事業規模、パッチ検証環境の保持困難、管理者負荷、言語の壁他)
・情報セキュリティ早期警戒体制の拡充、強化の一環として、平成16年7月7日に経済産業省から発表された「ソフトウェア等脆弱性関連情報取り扱い基準」および「情報セキュリティ早期警戒パートナーシップガイドライン」についても解説している。
・パッチの情報を追いかけ適用について。特にパッチ起因の障害発生の可能性とパッチ検証の工数猶予がない問題を解説。NISTの文献 SP800-40(Procedures for Handling Security Patches:米国国家の連邦組織利用のパッチ適用標準)を中心に研究した成果が記載されている。
・また当該NIST基準について国内で展開した場合での弊害/課題についても深く考察されており、2005年当時の課題が今でも有効である点は特筆に値する。(例:NIST標準の適用事業規模、パッチ検証環境の保持困難、管理者負荷、言語の壁他)
・情報セキュリティ早期警戒体制の拡充、強化の一環として、平成16年7月7日に経済産業省から発表された「ソフトウェア等脆弱性関連情報取り扱い基準」および「情報セキュリティ早期警戒パートナーシップガイドライン」についても解説している。
概要 :
情報システムの脆弱性を対策するためのパッチ適用にあたっては、システムへの変更による影響を抑えつつ、迅速な対応を行なうための管理が必要である。本研究では、標準的な管理基準として米国標準技術院(NIST)のパッチ適用基準について学び、日本企業での適用での問題点を探った。また研究の過程で、様々なセキュリティ問題事例についての研究員相互の議論を通して、企業全体でのセキュリティ対策推進の必要性を再認識した。
情報システムの脆弱性を対策するためのパッチ適用にあたっては、システムへの変更による影響を抑えつつ、迅速な対応を行なうための管理が必要である。本研究では、標準的な管理基準として米国標準技術院(NIST)のパッチ適用基準について学び、日本企業での適用での問題点を探った。また研究の過程で、様々なセキュリティ問題事例についての研究員相互の議論を通して、企業全体でのセキュリティ対策推進の必要性を再認識した。