危険度がInfoの脆弱性の扱い方 #

脆弱性診断のレポートではCritical/High/Medium/Low以外にInfoが検出されることがあります。
Infoとは、診断対象のソフトウェアやシステムにおいて、気になる挙動や推奨するべき設定など、価値のある情報を伝えるためのレベルを指します。Infoには、セキュリティに関する問題だけでなく、その他の情報も含まれることがあります。Info以外に情報、None、脅威がゼロの脆弱性と表現されることもあります。

具体的には、下記に該当するものがInfoで報告された脆弱性として分類されています。

• 現時点では脅威が顕在化していないが、セキュリティ上良くない実装や設定に関する指摘
• セキュリティテスターが気になった挙動に関する指摘(不具合なども含まれます。)
• セキュリティを向上させるための設定や推奨事項に関する指摘

Infoで報告された脆弱性は、Critical/High/Medium/Lowの脆弱性と比較して、対応の優先度を低く設定して問題ありません。
ただ、現時点で脅威が顕在化していないため危険度が低いと判断されているものも含まれています。そのため、アプリケーションやシステムに他の脆弱性や脅威が発生した場合には組み合わせて悪用されることで、危険度が上がる可能性があり注意が必要です。

Infoで報告された脆弱性については内容を確認し、対応可能であれば調査や改善することを検討するようにしてください。特にブラックボックステストによるセキュリティテストでは決められた時間内でテスターが全ての挙動を調査することは難しいです。 そのため、指摘された項目については、念のため対象箇所のソースコードを確認することをお勧めします。
また、Infoにはセキュリティを向上させるためのヒントや参考情報が提供されている場合があります。今後の自社でのセキュアな開発に役立てる情報源として活用することをお勧めします。