IPA、中小事業者向けにネット接続できる製品開発のガイドラインなど公開
2020年9月3日 07:55
あるAnonymous Coward 曰く、 情報処理推進機構(IPA)が8月27日、「脆弱性対処に向けた製品開発者向けガイド」というものを作ったそうだ。同様に一般消費者向けにもネット接続可能な製品を選ぶ上でのガイドや、製品を利用する上注意点をまとめたガイドについても公開している(脆弱性対処に向けた製品開発者向けガイド、ネット接続製品の安全な選定・利用ガイド -詳細版-)。 脆弱性対処に向けた製品開発者向けガイドでは、ネットに接続する機器の開発で、セキュリティ対策としてやるべき方向性などをチェックリスト化。中小規模の事業者でも脆弱性への対処をしやすくするためのもの。リストでは3段階のレベルが設定されており、レベルを段階的に上げていくことで、製品のセキュリティレベルをアップさせることができるとしている。ちなみに結構ざっくりとした内容だったりする。
例えば製品セキュリティポリシーのチェックリストを抜き出すとこんな感じだ。
製品セキュリティポリシーの策定
レベル1 製品セキュリティに関する方針・考え方を、製品セキュリティポリシーとして策定します。 レベル2 製品セキュリティに関する方針・考え方を、製品セキュリティポリシーとして策定し、外部に開示します。 レベル3 製品セキュリティに関する方針・考え方に加え、実施事項を含めて製品セキュリティポリシーとして策定し、外部に開示します。 同じ日に一般消費者向けのネット対応製品購入時のガイドや、利用上の注意点をまとめたガイドを公開している。 製品選びをまとめた「デザインや性能、価格だけで選んでいませんか?」では、概要だけを求めた小冊子(PDF版)と詳細版(PDF版)の2種類が用意されている。詳細版ではチェック項目として、アップデート機能があるかどうかやセキュリティ関連の情報がメーカーの公式サイト上にあるかといった注意点などが記載されている。 利用上の注意をまとめた「購入した製品を、そのままの状態で使い続けていませんか?」でも小冊子(PDF版)と詳細版(PDF版)の2種類がある。こちらも詳細版によれば、購入時にデフォルトパスワードを変更することやアップデートの適用、サポートの終了時期のチェックなどを行うことを求めている。