情報処理推進機構(IPA)などは7月8日,2004年7月から運用されている「情報セキュリティ早期警戒パートナーシップ(以下,早期警戒パートナーシップ)」のガイドラインを改訂した。早期警戒パートナーシップとは,ソフトウエア製品やWebサイトの脆弱性(セキュリティ・ホール)情報を適切に取り扱うための枠組み(関連記事)。改訂版では,IPAとJPCERTコーディネーションセンター(JPCERT/CC)が運営するポータル・サイト「JP Vendor Status Notes(JVN)」で情報公開することが明記された。
2004年4月に発表され,同年7月に開始した早期警戒パートナーシップ(関連記事)。実際の運用状況を基に「情報システム等の脆弱性情報の取扱いに関する研究会」 および「脆弱性情報取扱いガイドラインワーキンググループ」で重ねられた議論から,今回,早期警戒パートナーシップのガイドラインが改訂された。
とはいえ,公開された「ガイドラインの変更点」(PDFファイル)を見る限りでは,大きな変更点はほとんどない。「第一版」では,脆弱性に関する情報などを「インターネット上で公表する」としていたものを「JVNで公表する」と変更した点が目立つ。
JVNでは,早期警戒パートナーシップで処理された脆弱性のほかに,米国の「CERT/CC」や英国の「NISCC」が公表した脆弱性情報に対する国内ベンダーの対応状況などもまとめられている。企業/組織のセキュリティ担当者などは参考にしていただきたい。
◎参考資料
◆情報セキュリティ早期警戒パートナーシップガイドラインの改訂について
(勝村 幸博=IT Pro)
