A.8.8 技術的脆弱性の管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.8 |
| 分類 | 技術的管理策 |
利用中の情報システムの技術的脆弱性に関する情報は、獲得しなければならない。また、そのような脆弱性に組織がさらされている状況を評価し、適切な手段をとらなければならない。
技術的脆弱性の悪用を防止するため。
実施の手引き
Section titled “実施の手引き”技術的脆弱性の管理には、以下を含める必要がある。
- 脆弱性情報の収集
- 脆弱性の評価
- パッチ適用
- 脆弱性診断
脆弱性管理プロセス
Section titled “脆弱性管理プロセス”| ステップ | 内容 |
|---|---|
| 情報収集 | 脆弱性情報の収集、監視 |
| 評価 | 影響度、緊急度の評価 |
| 優先順位付け | 対応の優先順位決定 |
| 対応 | パッチ適用、回避策 |
| 検証 | 対応の有効性確認 |
脆弱性の評価基準
Section titled “脆弱性の評価基準”| 評価項目 | 内容 |
|---|---|
| CVSS | 共通脆弱性評価システム |
| 影響範囲 | 影響を受けるシステム |
| 悪用可能性 | 攻撃コードの有無 |
| 事業影響 | 事業への影響度 |
当社における実施状況
Section titled “当社における実施状況”当社では、DependabotやRenovateを活用して依存関係の脆弱性を自動検出し、速やかにアップデートを実施している。IPA、JVN等から脆弱性情報を収集している。
-
- システム開発及び保守
-
- 組織的対策