情報処理推進機構(IPA)は7月8日から,ソフトウエアやWebサイトに見つかったセキュリティ・ホール(ぜい弱性)情報の届け出を受け付ける。7月7日に制定された経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が,7月8日に施行されるため。IPAが受付機関に,JPCERTコーディネーションセンター(JPCERT/CC)が調整機関となって,ユーザーなどから寄せられたセキュリティ・ホール情報を分析するとともに,ソフトウエア・ベンダーやWebサイト運営者に通知する。届け出先のメール・アドレスなどは,7月8日にIPAのWebサイトで告知する。

 IPAでは,セキュリティ・ホール情報の届け出窓口を7月に設置することや,届け出の処理手順などを4月6日に発表している(関連記事)。その後,「ソフトウエア等脆弱性関連情報取扱基準(案)」が作成され,経済産業省では4月30日から5月28日までパブリック・コメントを募集した。「いくつか変更点もあるが,大筋では4月6日に発表した内容」(IPA セキュリティセンター 情報セキュリティ技術ラボラトリー 福澤淳二氏)だという。(関連記事)。

 IPAが受け付けるぜい弱性情報は,「国内で利用されているソフトウエア」および「主に国内ユーザーを対象にサービスを提供しているWebサイト」に関するもの。ユーザーなどからの届け出を受けると,IPAとJPCERT/CCがぜい弱性の内容を検証するとともに,JPCERT/CCがそのソフトウエアのベンダーやWebサイト運営者に通知する。ソフトウエアに関しては,通知後,JCPERT/CCとベンダー間で期限を設定し,期限が来たらぜい弱性の概要とベンダーの対応状況を公表する。IPAによると,具体的な期限はソフトウエア等脆弱性関連情報取扱基準に明記されていないので,ケースバイケースになるという。

◎参考資料
「情報システム等の脆弱性情報の取り扱いに関する研究会」報告書の公表について(PDFファイル)
情報システム等の脆弱性情報の取扱いに関する研究会報告書
情報システム等の脆弱性情報の取扱いにおける法律面の調査

(勝村 幸博=IT Pro)