Webサイト構築事業者のために、脆弱性関連の対応をまとめたガイドラインとして、IPAとJPCERT/CCが「情報セキュリティ早期警戒パートナーシップガイドライン」の2009年版を公開しています。

脆弱性対応について記したメイン部分もさながら、付録にある下記のガイドラインも該当する事業者には役立ちそうなマニュアルとなっていて、これらの付録の抜粋編だけでもダウンロードができるようになっています。該当する方は、是非一度は目を通しておくことをお勧めします。

付録５ ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル ............ 29
付録６ ウェブサイト運営者のための脆弱性対応マニュアル ....................... 37
付録７ ウェブサイト構築事業者のための脆弱性対応マニュアル ................... 42

「付録７　ウェブサイト構築事業者のための脆弱性対応マニュアル」の「1.2.安全性を確保するための取組み方」には下記のように、企画段階の取り組みとしてセキュリティ要件を十分に検討しましょうとあります。

■企画段階の取組み
企画時には、ウェブシステムのセキュリティ方針について検討します。特に社外向けのサービスを提供するウェブシステムの場合、セキュリティポリシーを含む多面的な視点から、セキュリティ機能に必要な要件を十分に検討する必要があります。

また、同「1.3.問題を招きやすいケース」にも脆弱性に係るトラブルを招く原因となりやすい事象として、下記のケースがあげられています。

■曖昧なセキュリティ要件
仕様におけるセキュリティ要件が曖昧であったために、本来は契約外である脆弱性対策の負担をウェブサイト構築事業者に求められることがあります。本来の機能・処理に関する仕様が優先され、セキュリティ要件の策定は後回しにされやすいこと、また技術的な詳細が理解しにくいため、包括的な記載になりがちであることなどから、結果的に、納入後に判明した新しい脆弱性の対策まで、すべて対応するように読める場合があります。したがって、脆弱性対策の部分については、記載事項を定型化しておき、契約段階であらかじめ意思表示しておくことが望ましいと考えられます。

公開されているマニュアルには、セキュリティ要件についてあまり具体的なことは書いていませんので、弊社が無償公開している「発注者のためのWebシステム／Webアプリケーションセキュリティ要件書」などもご活用下さい。

• 情報処理推進機構：情報セキュリティ：情報セキュリティ早期警戒パートナーシップガイドライン
• 発注者のためのWebシステム／Webアプリケーションセキュリティ要件書 | 株式会社トライコーダ