「政府統一基準」で求められるソフトウェアの脆弱性対策

「政府統一基準」は、国内の政府機関が実施すべきセキュリティ対策の指針を示したものです。

具体策として「政府機関等の対策基準策定のためのガイドライン」が示されています。

ソフトウェアの脆弱性対策については、「政府統一基準」P42 6.2.1項 ソフトウェアに関する脆弱性対策、並びに「ガイドライン」P198 6.2.1項 ソフトウェアに関する脆弱性対策にて示されています。

「政府統一基準」及び「ガイドライン」にて求められている脆弱性対策は以下です。

脆弱性情報はJVNの情報を利用します

JVNは「Japan Vulnerability Notes」の略で日本で使用されているソフトウェアの脆弱性関連情報と対策情報が提供されています。

IPAとJPCERTにより運営されています。

MyJVN-APIによる自動収集

MyJVN APIは、JVNの情報をWebを通じて利用するためのWEBインターフェイスです。MyJVNが提供するAPIを利用して脆弱性情報を取得し、取得した情報をAIを用いて脆弱性辞書に分類します。

インベントリ収集システムからのHW情報、SW情報の自動連携

• 導入済みのインベントリ収集システムからのインベントリ情報を定期的に取込み、HW台帳を自動作成します。
• 各HWにインストールされているソフトウェアの情報も定期的に取り込み、データベースに格納します。

脆弱性に対して組織としての対応要否を設定

JVNのCVSSv2/v3のスコアによる自動対応要否設定も可能

• JVNDB番号
• タイトル
• CVSS深刻度
• CVSSスコア
• 脆弱性詳細
• 該当資産数

脆弱性を有する資産の管理者にアラート通知

脆弱性対応ワークフローが自動起票

対応要請が来ている資産を一覧表示

詳細に遷移すると対応状況報告画面を表示（ワークフローが表示される）

脆弱性対応ワークフローの進捗確認が可能

• 対応中の脆弱性一覧
• JVNDB番号
• タイトル
• 開始日時
• 脆弱性詳細
• 対応状況毎の対応資産数

過去に対応した脆弱性一覧表示

• JVNDB番号
• タイトル
• 対応開始日時
• 脆弱性詳細

脆弱性該当資産集計

脆弱性毎の該当資産数を組織ごとに集計。端末単位までドリルダウン可能