対策作業に取り掛かる前に計画を立てます。SI事業者に対策の実施を依頼する場合には、作業計画多幾つかの事項について調整をはかり合意をとります。この段階では以下の作業を行います。
1、これまでに収集した情報の整理と共有
2、当該ウェブサイトに関する契約の確認
3、対策基本姿勢、優先事項の明確化
4、費用、人員、作業時間、その他対策実施に必要なリソースの確保
5、対策計画の確保
6、作業時の連絡体制の確認
7、作業実施に係るSI事業者との調整
問題のあったウェブサイトに関して、外部の構築担当者や運用担当者との間で結んだ契約があればその内容を確認しておきます。ここまでに明らかになった情報を整理して関係者で共有し、要点を確認します。
ウェブサイト運営者として問題となる脆弱性にどのような対応を行うかについて基本的な対応方針を決定します。合わせて対策作業に必要な費用、人員、作業時間等のリソースの確保についても組織内で合意をとっておきます。これまでの作業時の連絡体制についても確認しておきます。
SI事業者に対策の実施を依頼する場合には、検討報告・対応方針案をベースにしてウェブサイト運営者とSI事業者の双方で計画を具体化します。これには費用、スケジュール、その他リソースの確保についての調整が含まれています。また、SI事業者から進歩報告を受けるタイミングについても計画しておくと良いでしょう。
次回は対策の実施についてご紹介していきます。