ウェブサイト運営者は、通知を受けた脆弱性についてその有無を確認し、受け取った情報の正誤を評価します。この段階ではウェブサイト運営者は以下の作業を行います。
1、確認作業に必要なリソースの確保、関係者への協力要請
2、問題があるウェブシステムの特定
3、指摘された脆弱性につながる現象の再現
4、脆弱性の原因と発生条件の特定
5、IPAあるいは発見者への進歩連絡
脆弱性の存在を確認しただけのこの段階では、もたらされ得る被害、適切な対策はまだ明確ではありません。想定される被害や対策を明らかにする作業についてはある程度の状況把握を済ませた後に改めて計画的に作業を行います。
脆弱性の存在の有無が明確になった段階で、脆弱性に関して連絡をよせてきた相手に脆弱性の存在および通知内容について正誤を確認した旨を連絡してください。
IPAより通知を受け取った際には、IPAに相談しながら対処を進めることもできます。もし脆弱性をうまく再現できない等の場合にはご相談ください。確認作業についてSI事業者に依頼する場合には、経緯とすでに得た情報について説明してください。SI事業者に脆弱性関連情報を提供した際には、受領通知をもらうようにします。この時点においてSI事業者が確認した内容については簡潔な報告を受け取ってください。
次回は、影響と対策の方向性の検討についてご紹介していきます。
