ウェブサイト運営者は脆弱性の有無について調査を基に確認し、必要であれば脆弱性修正プログラムの適用といった対策を行います。また、脆弱性について関係する内部・外部の相手やウェブサイト利用者との間の連絡窓口を設置し、ウェブサイト運営関係者への情報の集約と管理を担当します。
対処にあたっては全体方針や、対策の計画をウェブサイト運営者自身の判断に基づいて行うことが必要となります。ウェブサイト運営者が脆弱性に関する連絡を外部から受け取った際の対処の流れをご紹介します。
1、脆弱性に関する通知の受領
2、セキュリティ上の問題の有無に関する調査
3、影響と対策の方向性の検討
4、対策作業に関する計画
5、対策の実施
6、修正完了の報告
上記が脆弱性関連情報への対処の流れとなります。
外部から連絡を受けた場合は、IPA・発見者を含む関係者間でよいコミュニケーションを維持することが対応を成功させる鍵となります。自発的・定期的に行われる脆弱性修正に比べると、外部から事実確認を急ぐように求められます。ウェブサイト運営者にとっては負担にもなりますが、対処の方針、計画を整理した上で可能な範囲で説明し理解を求めることが大切です。
ウェブサイトにおけるセキュリティ上のトラブルに対しては発見後の早い対応が必要です。不正アクセスの踏み台にされている場合、フィッシング詐欺等に悪用されている場合、ウイルスを撒き散らしている場合には、まずウェブサイトを停止し被害拡大を防ぎます。加えて個人情報の洩れやサイト利用者へのウイルス送信等が発生した際には、速やかな被害事実の公表も望まれます。
トラブルは、ウイルスや不正アクセス等にサイトの弱点を狙われて起きます。被害防止のためにはウイルス等の駆除や監視強化等の処置を行って「穴を見つけて塞ぐ」ことが必要です。脆弱性への手当が十分でないままサービスを継続して提供すれば再び、被害を受ける可能性もあります。脆弱性の調査や修正には作業時間を取る必要があり、場合によってはサイトを一時停止するといった決断も必要です。
サイト運営者は被害事実の公表やサービス再開のタイミングを考慮しながら脆弱性に関する技術的作業を進めていくことが重要です。
次回は脆弱性に関する通知の受領についてご紹介していきます。