参考資料「制御システム用製品の開発ベンダにおける脆弱性対応について」
2010年にStuxnetが発見されて以降、制御システムのセキュリティに対する関心が高まりを見せるなか、セキュリティの研究者らによって様々な制御システム用製品の脆弱性が発見されています。発見された制御システム用製品の脆弱性は、IT製品の脆弱性と同様、適切かつ安全に取扱われることが望まれます。
2013年度、JPCERTコーディネーションセンターでは、国内の制御システム製品ベンダにご参加いただいて、「制御システムベンダにおける脆弱性取扱の社内体制整備促進検討会」を開催し、制御システム用製品を扱うベンダにおける脆弱性関連情報の取扱体制について検討を行いました。
本資料は、制御システム用製品を扱うベンダが脆弱性関連情報を取扱う場合に考えられる「必要な機能」、「機能を担う体制の在り方」等について、同検討会で交わされた議論をまとめたものです。脆弱性がもたらす事業リスクや制御システム用製品の脆弱性を取り巻く昨今の状況から説き起し、一例として仮想企業A社における対応機能・体制の在り方、外部組織を含めた脆弱性関連情報の取扱いの流れも紹介しています。
本資料を脆弱性関連情報の取扱いについて検討される際の参考資料としてご活用いただければ幸いです。 なお、実際の機能・体制の整備に当たっては、自社の状況に合わせ、必要な機能・体制をご検討ください。
公開日 | タイトル | PGP 署名 | |
---|---|---|---|
2014-08-11 | 参考資料「制御システム用製品の開発ベンダにおける脆弱性対応について」 |
1.71MB デジタル
署名付 |
PGP 署名 |