 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
ソフトウェア/Webサイトの脆弱性届出制度が運用開始 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
経済産業省は7月7日、ソフトウェアやWebアプリケーションの脆弱性に関する「ソフトウエア等脆弱性関連情報取扱基準」の修正案を発表し、8日より運用を開始する。 ソフトウエア等脆弱性関連情報取扱基準では、脆弱性そのもの、検証方法、攻撃方法、対策情報などの脆弱性に関する情報についての、届け出から調整、公表に至るまでの取扱いの流れが定められている。 個人・団体がソフトウェアやWebアプリケーションの脆弱性を発見した際の届出窓口としては情報処理推進機構(IPA)が、またソフトウェアベンダーとの調整機関にはJPCERT Coordination Center(JPCERT/CC)が指定されている。Webサイト運営者との調整はIPAが行う。 今回の取扱基準は、2003年11月に設置された「情報システム等の脆弱性情報の取扱いに関する研究会」から4月6日に出された報告書の原案について、4月30日から5月28日までに寄せられた61件のパブリックコメントに基づいて修正がおこなわれた。 4月に出された原案では、ソフトウェア開発ベンダーが脆弱性対策の方針協議に応じない場合や、対策方法を作成しない場合、また方針協議で合意形成されなかった場合などの取扱プロセスが具体化されていなかった。この点から修正案では、調整機関であるJPCERT/CCが対策期限を事前に通告し、それまでに対策方法が報告されなかった場合に脆弱性情報を広く周知できるように明記されている。 また脆弱性情報公表の時点での対応状況やベンダー名もあわせて公表するため、経産省では、ユーザーが正確に状況を把握できるほか、ベンダーに迅速な対応を促す効果が期待できるとしている。 なおWebサイトの脆弱性については変更がなく、運用していく上で実効性のある措置を今後検討していくという。 【7月8日 15:45更新】 なおIPAのWebサイトに、ユーザーがソフトウェア/Webサイト脆弱性情報の届出を行う際の様式と、送信先メールアドレス、暗号化して送信する際のPGP暗号鍵の情報が公開されている。 ■ URL 経済産業省 http://www.meti.go.jp/ 「ソフトウエア等脆弱性関連情報取扱基準(案)」等に関するパブリック・コメント(意見募集)の結果について http://www.meti.go.jp/feedback/data/i40706aj.html 情報処理推進機構 http://www.ipa.go.jp/ 脆弱性関連情報に関する届出について(IPA) http://www.ipa.go.jp/security/vuln/report/index.html JPCERT Coordination Center http://www.jpcert.or.jp/ ■ 関連記事 ・ IPA、脆弱性情報取り扱いに関する体制の提言を発表(2004/04/06)
( 岩崎 宰守 )
|
|
|
|
|
|
|