運用中のWEBサイトで脆弱性が見つかった!?まずどうすべき?
外部からの脆弱性に関する連絡は、大きく2つに分けることができます。1つは、発見した人から直接連絡が届く場合です。もう1つは、独立行政法人 情報処理推進機構(IPA)から連絡がくる場合があります。
脆弱性に関する情報を受け取った企業は、事実を確認し、
どんな対応をとるか検討する必要があります
WEBサイトの課題を教えてくれる人には、WEBサイト利用者の一人として心配してくれる人や、善意で連絡をくれる人が多く存在しています。他にも、社外の関係者や取引先から教えてもらう場合などもあります。
脆弱性に関する情報を受け取った企業は、事実を確認し、どんな対応をとるか検討する必要があります。さらに、情報を教えてくれた人に対しては、情報を受け取った旨を連絡すべきです。
しかし過去には、なにも対応せずに連絡を放置し続けてしまった企業もありました。その結果、無視され続けた発見者は脆弱性に関する情報をインターネットに公開してしまった、ということもありました。
脆弱性に関する情報を適切に関係者へ届けるため、IPAでは一般の人が発見した脆弱性に関する情報を受け付ける窓口が用意されています。この窓口が利用された場合、発見者からの情報はIPAを介して企業へ伝えられることになります。
