 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
IPA、脆弱性情報取り扱いに関する体制の提言を発表 |
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
||||||||||||||||||
|
独立行政法人情報処理推進機構(以下、IPA)は4月6日、ソフトウェア、Webアプリケーションの脆弱性に関する「情報システム等の脆弱性情報の取扱いに関する研究会」による報告書を発表した。 情報システム等の脆弱性情報の取扱いに関する研究会は、経済産業省の要請を受けてIPAが2003年11月に設置したもの。脆弱性情報取扱いガイドラインの策定と、脆弱性情報流通の2つのワーキンググループに分かれており、セキュリティベンダーやSI、政府機関などあわせて30機関・50人で構成されている。ここでソフトウェア、Webアプリケーションそれぞれの脆弱性に関する情報について、脆弱性そのもの、検証方法、攻撃方法といった機密を保持する必要のある情報と、ユーザーに必要となる回避・修正のための対策情報に区分して、それぞれの情報流通の仕組みとその担当機関、また脆弱性を発見した場合の届出窓口の整備が検討され、今回報告の形で発表された。 脆弱性届け出の受付と検証、分析、Webアプリケーションの脆弱性についてのサイト運営者への通知、さらにユーザー向けの情報提供についてはIPAが担当し、ソフトウェアの脆弱性についての開発元への通知や、複数製品にまたがる脆弱性についてのベンダー間調整、海外機関からの脆弱性通知窓口などは、有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)が担当する。 今回の報告書はIPAから経済産業省へ向けた提言の形をとり、今後同省内で調整の後、早ければ7月には経済産業省告示の形で、枠組みの実施に移されるとのことだ。
この体制のもと、実際の運営が開始されたとしても、法的な強制力はない。しかし山崎氏によれば「ソフトウェアの脆弱性に関しては、通知に応じないベンダーを公表する方向で考えている」とのこと。また脆弱性通知に応じないWebサイトの運営者について、「公表は時期尚早」としながらも、将来的には「通知しても修正されないケースが多発すれば、公表スキームをIPAが運用できる措置をとりたい」とした。
一般への情報告知体制については、「データベースを整備し、複数ベンダーのWebの情報を集約、網羅できる体制をとりたい」とした。 また脆弱性の届出について早貸氏は、「これまでいち個人のできることには限界があり、直接開発元やWebサイト運営者へ通知するにしても、法律違反すれすれのリスクなどの負担も伴っていた」とし、「きちんとした形でない段階での届け出でも、その検証はIPAで行う」とした。そして米国でCERTでの例として「年間5,000件程度」との脆弱性届出数を示した。この中には「国内からの通報例も相当数含まれている」とのことだ。 一方、対応にあたってベンダー側では、情報処理ポリシーのガイドラインを策定する必要がある。経済産業省では、社団法人電子情報技術産業協会(JEITA)を通じて、この標準的な基準策定を行い、ベンダーへの働きかけも行っていくとのこと。 ■ URL 独立行政法人情報処理推進機構 http://www.ipa.go.jp/ 経済産業省 情報セキュリティに関する政策、緊急情報 http://www.meti.go.jp/policy/netsecurity/ プレスリリース http://www.ipa.go.jp/about/press/20040406.html 有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC) http://www.jpcert.or.jp/ 社団法人電子情報技術産業協会 http://www.jeita.or.jp/ ■ 関連記事 ・ IPA、IT製品の安全性評価・認証機関としての業務を開始(2004/04/01) ・ IPA、特別認可法人から独立行政法人に改組(2004/01/05)
( 岩崎 宰守 )
|
|
|
|
|
|
|