脆弱性情報はIPAに届け出、ベンダ調整の新ルール策定へ

2004/4/7

 情報処理推進機構(IPA)の「情報システム等の脆弱性情報の取り扱いに関する研究会」は、ソフトウェア、Webアプリケーションの脆弱性情報の発見から対策、公表までの情報の取り扱いに関するルール作りを提案する報告書を3月末にまとめ、4月6日に発表した。脆弱性に関する情報は発見者がソフトベンダに報告しても無視されたり、一方的に公表することで同じ脆弱性を抱えた別のベンダのソフトが攻撃を受けるなどの問題が指摘されてきた。報告書では発見者からの情報をIPAが受け付けて、JPCERT/CCがベンダ間の調整を実行。脆弱性の対策が済んだあとにIPAが公表する。IPA、経済産業省は報告書の内容を公的ルールとしてまとめ、7月にも実施する計画だ。

報告書を発表したIPA セキュリティセンター センター長の早貸淳子氏

 IPA セキュリティセンター センター長の早貸淳子氏は現在の脆弱性情報の取り扱いについて、「発見者がベンダに連絡しても埋もれてしまったり、脆弱性を立証するために不正アクセス禁止法違反のリスクを侵すなど辛い思いをしている」と説明。報告書の内容がルールとして定められることで「怪しい段階で連絡できる」として脆弱性情報の報告が増加し、結果的にソフト、Webアプリケーションの安全性が高まるとの考えを示した。発見者の名前、連絡先は発見者が望まない限り、公表やベンダへの通知はされない。

 報告書では、脆弱性情報の取り扱いをソフトとWebアプリケーションに分けて方法を示している。ソフトでは脆弱性を見つけた発見者からの届け出窓口をIPAに設置。届け出を受けたIPAは脆弱性の内容を分析すると同時に、JPCERT/CCに連絡する。JPCERT/CCはソフト開発元のベンダに通知して対策を講じるよう要請。ソフトの脆弱性についてはプロトコルやOSなど複数ベンダの製品にかかわる問題となるケースもあるため、JPCERT/CCが関係するベンダの抽出や脆弱性の通知、対策を公表するスケジュールの調整などを行う。脆弱性が海外ベンダの製品に関係する場合は、JPCERT/CCが海外のCERTに連絡する。

 ソフト開発元のベンダによる対策検討が終了した段階で、ユーザーに対策を公表する。公表はベンダ自らが行うとともに、タイミングを合わせてIPAからも行うようにする。IPAではベンダに脆弱性を通知してから対策を公表するまでの標準的な日数を決定し、ベンダに対して迅速な処理を依頼する考え。

 一方、Webアプリケーションの脆弱性はWebサイトの運営者だけが関係するケースがほとんどで、ほかのWebアプリケーションで共通の脆弱性が見つかることは少ないと報告書では説明している。そのためWebアプリケーションの脆弱性情報に関してはIPAが発見者からの情報を受け付けたあと、直接Webサイト運営者に通知し、対策を要請する。対策後もWebサイト名などは公表せずに「1年で○件の脆弱性が報告された」など統計情報だけを発表する。

 ソフト、Webアプリケーションの脆弱性は不正アクセスなどの違法な手段で判明するケースもある。報告書では、IPAは脆弱性情報の入手方法には感知しないとしているが、「違法な手段で入手されたことが明白な脆弱性関連情報に関しては、処理しないことがある」と説明。また、IPAが脆弱性情報を受け付けても、入手手段の合法性を認めたり発見者の法的責任が免責されることはないとしている。

 経済産業省では報告書の内容を基に業界の「公的ルール」を策定する。5月初めまでにパブリックコメントとして公表、意見を募集し、6月中にも経済産業省告示として制定。7月からIPAで脆弱性情報を受け付けられるようにする計画だ。たとえベンダが対策を採らなくても法的な罰則はないが、経済産業省では電子情報技術産業協会(JEITA)に対し、ベンダ間で今回のルールを遵守するための体制作り、社内での情報の取り扱いポリシーの策定などを要請する考え。

(編集局 垣内郁栄)

[関連リンク]
IPAの発表資料
JPCERT/CC
経済産業省
電子情報技術産業協会

[関連記事]
国の情報セキュリティ研究機関に何が期待できるか (@ITNews)
世界連携でゼロデイ・アタックを防ぐJPCERT/CC (@ITNews)
「井の中の蛙」、新日鉄ソリューションズ会長が国内SIerに喝! (@ITNews)
セキュリティ10大ニュースで2003年を振り返る (@ITNews)
「インターネットのアメダスを作る」、新JPCERT (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)