プロダクト脆弱性対策・対応成熟度シートVersion 1.1の公開

2020年4月17日

セキュリティ委員会 / Software ISAC

　一般社団法人コンピュータソフトウェア協会 Software ISAC（リーダー：萩原 健太、グローバルセキュリティエキスパート株式会社）では、2019年4月8日に公開した「プロダクト脆弱性対策・対応成熟度シートVersion 1.0」を更新し、新たに「PSIRT Services Framework 1.0 に対応」、「評価方法を NIST Cyber Security Framework に合わせる」、「採点シートを作成しグラフを作成できるようにする」等に対応した「Version 1.1」として公開いたしました。
本シートは「PSIRT Service Framework Version 1.0日本語版」をもとに、PSIRT Service Frameworkの各フレームワークの目的達成過程の状態を成熟度レベル毎に示したものとなります。

　プログラム開発事業やソフトウェア販売等に関わる企業において、製品の脆弱性管理は重要な課題となってきました。この成熟度シートは、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム（PSIRT）の設立を進めている組織、もしくはPSIRT業務の品質の向上を目的に、現状評価や課題の洗い出し、施策の方向性を検討する材料として利用して頂きたいものです。
2019年11月にリリースされた「PSIRT Service Framework 日本語版」では、PSIRTのあるべき姿をサービスエリア毎に詳細に記述してありますが、組織の規模や製品販売対象範規模の違いなどで、要件としてそのまま自組織に当てはめるには難しい面も散見されます。この成熟度シートは、PSIRT Service Frameworkの理解を助けると同時に、目標とする成熟度レベルを自ら設定し、中小規模のビジネスにおいても参考となるよう配慮しました。

利用の仕方

• 各フレームワークの目的を確認したうえで、レベル０の内容から順に上位レベルに向けて記述を読み、自組織がどのレベルに最も近いかという観点で採点してください。
• 目的の内容が明らかに業務範囲外であればそのフレームは除外してください。
• 当面はフレームワークの平均が2.5～3.0となるように、各フレームワークの要件を満たすための施策や計画を検討し実施してください。
• 採点は定期的(半年～1年に1回)、あるいは組織改革や業務改革実施後、インパクトの大きいインシデントを対処した後などが適切です。
  
  ※レベル記述文中に、フレームワークのナンバーを付与しましたので、「PSIRT Service Framework Version 1.0 日本語版」と照らし合わせて参考としてください。

注意事項

• 文中に「PSIRT」が主語として多く記述されていますが、レベル０~２に関しては「PSIRT」という組織が存在せずとも、PSIRTの一部の機能や脆弱性管理責任を持つ組織や個人が存在すれば、それを当てはめて評価してください。
• 記述内容や用語が理解できない場合は、「PSIRT Service Framework Version 1.0 日本語版」の内容や用語の定義を確認してください。

プロダクト脆弱性対策・対応成熟度シート Version1.1

以下よりダウンロードしてください。

• プロダクト脆弱性対策・対応成熟度評価シート（PDF）（2020年4月17日）
• プロダクト脆弱性対策・対応成熟度採点シート（xlsx）（2020年4月17日）

お問い合わせ

一般社団法人コンピュータソフトウェア協会(CSAJ）
事務局　お問い合わせフォーム