JPCERTコーディネーションセンター(JPCERT/CC)とフリーソフトウェアイニシアティブ(FSIJ)は5月30日,オープンソース・ソフトウエアやフリーソフトのセキュリティ対策の強化を目的に協力することを発表した。今後両組織は,オープンソース・ソフトウエアなどに見つかったセキュリティ・ホール(脆弱性)問題の早期解決のために協力する。
国内では,ソフトウエア製品などに見つかったセキュリティ・ホール情報を受け付けて,開発者に修正や情報公開を促す取り組み「情報セキュリティ早期警戒パートナーシップ(以下,早期警戒パートナーシップ)」が2004年7月から運用されている(関連記事:セキュリティ向上への地道な試み「早期警戒パートナーシップ」を知っていますか?)。情報処理推進機構(IPA)が受け付けて,JPCERT/CCが開発者との調整をおこなっている。調整した結果などは,JPCERT/CCとIPAが共同運営している「JVN(JP Vendor Status Notes)」で公表している。
JVNを見れば分かるように,早期警戒パートナーシップはある程度の成果を収めている。ただしJPCERT/CCによれば,対象がオープンソースやフリーソフトの場合には,調整が難しい場合があるという。例えば,セキュリティ・ホールが見つかったソフトの開発者へ連絡を取ろうとしても,連絡先が分からないケースがあるという。
また,連絡しても「全く反応がないケースもある」(JPCERT/CC)。反応がない理由としてJPCERT/CCでは,認知度の低さを理由の一つに挙げる。「『早期警戒パートナーシップ』はもちろん,JPCERT/CCについても知らない開発者は少なくないようだ」(JPCERT/CC)。そこで今回,FSIJと協力したことを発表し,早期警戒パートナーシップやJPCERT/CCの認知度向上を図る。開発者との調整の際には,FSIJに協力してもらい,迅速に問題を解決できるようにする。
FSIJにどのように協力してもらうかについては検討中。「調整がつかない開発者とJPCERT/CCとの間に入ってもらうことなどが考えられるが,ケースバイケースになるだろう。どのような協力体制が効果的であるか,今後の調整活動を通して探ってゆきたい」(JPCERT/CC)。
