 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
経産省ほか、ソフトウェア/Webサイト脆弱性情報取扱説明会を開催 |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
経済産業省が7月7日に告示、7月8日より施行した「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)と、独立行政法人 情報処理推進機構(以下、IPA)など6団体が連名で発表した「情報セキュリティ早期警戒パートナーシップガイドライン」についての「脆弱性関連情報取り扱い説明会」が、7月20日に都内ホテルで開かれた。 ガイドラインを発表したのはIPAのほか、有限責任中間法人 JPCERTコーディネーションセンター(以下、JPCERT/CC)、社団法人 電子情報技術産業協会(以下、JEITA)、社団法人 情報サービス産業協会(以下、JISA)、社団法人 日本パーソナルコンピュータソフトウェア協会(以下、JPSA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(以下、JNSA)の各団体。 経産省の告示は、電子申請やネットバンキングといったWebアプリケーションや、ソフトウェアをはじめとした広く不特定多数に影響のある脆弱性関連情報取り扱いの枠組みを定めたもの。窓口となる届出機関にはIPAが、開発ベンダーとの調整機関にはJPCERT/CCが定められている。一方、IPA以下6団体のガイドラインはこれと対になり、官民が連携する枠組みに参画する関係者や業界への指針と位置づけられている。 説明に先立って挨拶を行った経済産業省 情報セキュリティ政策室 室長の頓宮裕貴氏は、「発見者と開発者、関係者が相互に協力して脆弱性情報を行き渡らせるメカニズムが機能するためには、ソフトウェア/ハードウェアベンダーの積極的参加が不可欠」と広く参加を呼びかけた。
経済産業省 情報セキュリティ政策室 課長補佐の川口修司氏によれば、「インターネットや電子商取引を中心としたITの拡大で、情報セキュリティの意味合いが変わってきた」との考え方のもと、「対処療法にとどまってきた」それまでの対応を、2003年10月に策定した「情報セキュリティ総合戦略」において「抜本的に見直した」という。 そして情報セキュリティ総合戦略のなかでは、“被害の局限化を図る体制の構築”が掲げられ、さらに脆弱性対処のためのルールと体制の整備の重要性について触れられている。ソフトウエア等脆弱性関連情報取扱基準はこの具体的な取り組みのひとつとなる。 続いて同氏は、脆弱性情報の公表から、これを悪用するためのExproitコード出現までの短期化を示し、さらに「感染後に被害が拡大するスピードはユーザーが対処できるレベルを超えている」と述べ「被害原因を把握する従来の段取りを踏んでいては間に合わず、発生そのものを抑制するのが正しいと判断した」と語った。また「国内特有の問題としてソフトウェア脆弱性研究が進んでおらず、政府が背中を押すことで、より円滑かつ効果的にIT業界の自立的改善と官民連携が進むように」今回の枠組み構築に至ったとした。 告示されたソフトウエア等脆弱性関連情報取扱基準と6団体からのガイドラインの関係については「告示は基本的な枠組みや行動基準を示したもので、民間が公表したガイドラインは役割や推奨事項を示した指針を示しており、これらが両輪となって枠組みを支える構図を考えている」とした。またガイドラインでは、専門家の見解として法的論点も整理されているという。
期限には、その時点の状況とベンダー名が公表されるという。これは「フィードバックがない場合や、パッチなどの対策を調査中、開発中でも、公表が行われる」という。「ただ45日というのはあくまでも目安であり、実際はケースバイケース」と述べた。 対象となるソフトウェアは、OSやWebブラウザ、クライアント向けのパッケージのほか、データベースやWebサーバーなどのサーバーソフトウェア、またソフトウェアを組み込んだ汎用的ハードウェアも含まれる。 また調整機関の重要性として、特定製品のみに影響する脆弱性だけでなく、複数製品に影響する脆弱性の存在を挙げた。こうした場合に「1ベンダーが対策を公表してしまい、他製品では対策がないシチュエーションでは、対策のないユーザーは危険な状態に置かれる。これを一斉に公表するのが重要なミッション」とした。また海外からの脆弱性情報についてもJPCERT/CCが仲介を行うという。
なおJPCERT/CCでは、製品開発者リストに基づいて、脆弱性情報の影響を受けるベンダーを検索・特定している。通知を受けるためには、リストへのPoint To Contact登録が必要となる。JPCERT/CC 伊藤友里恵氏は、「仮登録後に、登記簿謄本などの本登録に必要な書類を提示してもらい、信頼関係を構築するプロセスとして、フェイストゥフェイスのミーティングを行う。その後リストへの登録規約に合意の上で登録となる」とそのプロセスを述べた。 伊藤氏はベンダー側のメリットとして、「一般公開前に情報を入手でき、余裕ある対応と準備ができる」点を挙げた。また「利用者への影響を軽減するため、対応状況を考慮して、公開時期の調整もでき、可能な場合は検証ツールや回避策の提供もする」とし、「脆弱性情報はネガティブにとらえられがちだが、対応する姿勢が評価されるフレームワークにしたい」と語った。 ソフトウェアの脆弱性情報は、IPAとJPCERT/CCが共同で運営する対策情報ポータル「JVN(JP Vendor Status Notes)」でユーザー向けに公表される。
IPAでは、通知先が個人の場合など、支援が必要な場合については、脆弱性の検証や修正の方法について助言を行う。またWebアプリケーションについては脆弱性についての詳細な情報の公表は行わず、統計情報のみが公表される。ただし個人情報など重要な情報が含まれる場合には、二次被害を防ぐため、その事実関係の概要や漏えいした期間と内容、件数といった詳細な内容を公表するよう指導していくという。 なお今後の取り組みとして、開発ベンダーの窓口担当者向けに、把握すべき作業事項をまとめたマニュアルをJPCERT/CCが取りまとめるほか、開発ベンダーが脆弱性情報を取り扱う上での業務プロセスや社内体制の指針となる製品開発者向けのガイドラインを、JEITA、JISAが共同で取りまとめる予定となる。 またこれらに波及する形で各業界向けとなるガイドラインの策定も検討を働きかけていくという。そしてこれら取り組みにより、業界側の参加を促進していく。またユーザー向けとなる対策促進策については、「現在のところ解決できておらず、パッチ適用時のトラブルなども含めて今後検討を重ねていく」とした。 なお本説明会は7月26日から28日にかけて、福岡、大阪、名古屋の各地でも開催の予定となっている。 ■ URL 経済産業省 http://www.meti.go.jp/ 独立行政法人 情報処理推進機構 http://www.ipa.go.jp/ 有限責任中間法人 JPCERTコーディネーションセンター http://www.jpcert.or.jp/ 対策情報ポータル「JVN」 http://jvn.jp/ 「情報セキュリティ早期警戒パートナーシップ」の運用開始について(経産省) http://www.meti.go.jp/policy/it_policy/press/0005399/ 情報セキュリティ早期警戒パートナーシップガイドラインの公表について(IPA) http://www.ipa.go.jp/about/press/20040708.html ソフトウエア等脆弱性関連情報に関する届出の受付開始について(IPA) http://www.ipa.go.jp/about/press/20040708-2.html 「情報セキュリティ早期警戒パートナーシップ」の運用を開始(JPCERT/CC) http://www.jpcert.or.jp/press/2004/0708.txt 脆弱性関連情報取り扱い説明会の開催について(IPA) http://www.ipa.go.jp/security/vuln/event/20040720.html 脆弱性関連情報取り扱い説明会(JPCERT/CC) http://www.jpcert.or.jp/workshop0407.txt ■ 関連記事 ・ ソフトウェア/Webサイトの脆弱性届出制度が運用開始(2004/07/08) ・ IPA、脆弱性情報取り扱いに関する体制の提言を発表(2004/04/06)
( 岩崎 宰守 )
|
|
|
|
|
|
|