Enterprise Watch
最新ニュース

IPA、脆弱性情報取り扱いに関する体制の提言を発表


 独立行政法人情報処理推進機構(以下、IPA)は4月6日、ソフトウェア、Webアプリケーションの脆弱性に関する「情報システム等の脆弱性情報の取扱いに関する研究会」による報告書を発表した。

 情報システム等の脆弱性情報の取扱いに関する研究会は、経済産業省の要請を受けてIPAが2003年11月に設置したもの。脆弱性情報取扱いガイドラインの策定と、脆弱性情報流通の2つのワーキンググループに分かれており、セキュリティベンダーやSI、政府機関などあわせて30機関・50人で構成されている。ここでソフトウェア、Webアプリケーションそれぞれの脆弱性に関する情報について、脆弱性そのもの、検証方法、攻撃方法といった機密を保持する必要のある情報と、ユーザーに必要となる回避・修正のための対策情報に区分して、それぞれの情報流通の仕組みとその担当機関、また脆弱性を発見した場合の届出窓口の整備が検討され、今回報告の形で発表された。

 脆弱性届け出の受付と検証、分析、Webアプリケーションの脆弱性についてのサイト運営者への通知、さらにユーザー向けの情報提供についてはIPAが担当し、ソフトウェアの脆弱性についての開発元への通知や、複数製品にまたがる脆弱性についてのベンダー間調整、海外機関からの脆弱性通知窓口などは、有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)が担当する。

 今回の報告書はIPAから経済産業省へ向けた提言の形をとり、今後同省内で調整の後、早ければ7月には経済産業省告示の形で、枠組みの実施に移されるとのことだ。


ソフトウエア製品の場合の脆弱性関連情報流通体制 Webアプリケーションの場合の脆弱性関連情報流通体制

経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 山崎 琢矢 氏
 経済産業省の山崎氏は今回の発表内容について、「情報セキュリティ総合戦略実現の過程で、早期警戒体制の構築を目標にした当省における重要課題の第1弾」とし、「事前に脆弱性関連情報を把握し、被害発生を抑制する枠組みと位置付けている」とした。そして「いままでは自主更新に任されていた脆弱性への対策について、自覚と取り組みの促進効果をもたせたい」と語った。

 この体制のもと、実際の運営が開始されたとしても、法的な強制力はない。しかし山崎氏によれば「ソフトウェアの脆弱性に関しては、通知に応じないベンダーを公表する方向で考えている」とのこと。また脆弱性通知に応じないWebサイトの運営者について、「公表は時期尚早」としながらも、将来的には「通知しても修正されないケースが多発すれば、公表スキームをIPAが運用できる措置をとりたい」とした。


IPAセキュリティセンター センター長 早貸 淳子氏
 IPAセキュリティセンターの早貸 淳子センター長は、今回の提言について、「脆弱性探しを推奨するわけではなく、不正アクセス禁止法に対する免責の枠組みでもない」と述べたが、「通知をした段階で情報漏えいへの責任を追及できるよう、民事訴訟の現場などで、ルールとして事業者側過失に影響を与えるものになりうると期待している」とした。そして「慣習法になるまでに時間はかかるだろうが、安心してソフトウェアの利用できる環境作りへの一歩になれば」と語った。

 一般への情報告知体制については、「データベースを整備し、複数ベンダーのWebの情報を集約、網羅できる体制をとりたい」とした。

 また脆弱性の届出について早貸氏は、「これまでいち個人のできることには限界があり、直接開発元やWebサイト運営者へ通知するにしても、法律違反すれすれのリスクなどの負担も伴っていた」とし、「きちんとした形でない段階での届け出でも、その検証はIPAで行う」とした。そして米国でCERTでの例として「年間5,000件程度」との脆弱性届出数を示した。この中には「国内からの通報例も相当数含まれている」とのことだ。

 一方、対応にあたってベンダー側では、情報処理ポリシーのガイドラインを策定する必要がある。経済産業省では、社団法人電子情報技術産業協会(JEITA)を通じて、この標準的な基準策定を行い、ベンダーへの働きかけも行っていくとのこと。



URL
  独立行政法人情報処理推進機構
  http://www.ipa.go.jp/
  経済産業省 情報セキュリティに関する政策、緊急情報
  http://www.meti.go.jp/policy/netsecurity/
  プレスリリース
  http://www.ipa.go.jp/about/press/20040406.html
  有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)
  http://www.jpcert.or.jp/
  社団法人電子情報技術産業協会
  http://www.jeita.or.jp/

関連記事
  ・ IPA、IT製品の安全性評価・認証機関としての業務を開始(2004/04/01)
  ・ IPA、特別認可法人から独立行政法人に改組(2004/01/05)


( 岩崎 宰守 )
2004/04/06 16:45

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.