作業計画に基づく対策を実施します。技術者による修正作業が中心となりますが、同時にウェブサイトの運用に関する留意も必要となります。ウェブサイト運営者からSI事業者に実施を依頼する場合にはSI事業者は事前に調整した作業を実施します。この段階では以下の作業を行います。
1、対策作業に伴う一時停止等に関するウェブサイト利用者へのアナウンス
2、ウェブサイト利用者への作業実施期間中の代替手段の提供・案内
3、修正の作成
4、試験環境でのテストと実施手順作り
5、対策の実施適用
6、対策効果の確認
7、ウェブサイト利用者から問い合わせへの対応
8、進歩報告の作成
ウェブサイト運営者は、ウェブサイト利用者に対して作業に伴うウェブサイト一時停止等のアナウンスを行います。
あわせて作業中に生じうるウェブサイト利用者への対応(代替手段の提供、問い合わせへの返答など)について必要な手配を行います。対策実施の技術的な部分の手順は修正の作成、試験環境でのテストと実施手順作り、対策の実施適用、対策効果の確認、の4段階からなります。
対策効果の確認に際しては、適切かつ有効な対策がされていることを診断・確認します。最新の対策について情報を持つ外部の監査ベンダを利用することも有効です。
対策の実施についてSI事業者に作業を依頼する場合には、前項に示すように計画に沿って進めて下さい。進歩については報告を受けるようにします。
脆弱性の対応が完了したらウェブサイト運営者は以下の作業を行います。IPAより連絡を受けて対応に当たった場合には修正完了報告(取扱番号、対象のウェブサイトURL、対応の内容を含む報告)をIPAへお願いします。
問題となった脆弱性に関連して、個人情報の漏れ等のトラブルが発生した場合には、自己に関する報告を行います。これには、ウェブサイト利用者への告知、主務官庁等への報告が含まれます。また、個人情報が流出した場合には、二次被害を防ぐために影響を受ける可能性のある本人に可能な限り連絡することが望まれます。
次回は、ウェブ制作会社の選び方についてご紹介していきます。
