2004年7月8日,経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が施行され,情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)による「脆弱性届け出制度」がスタートした。

 同制度では,IPAが「受付機関」になって,ユーザーなどから寄せられた,ソフトウエア製品やWebサイトのセキュリティ・ホール(脆弱性)を受け付ける。そして,JPCERT/CCが「調整機関」となり,セキュリティ・ホール情報を分析するとともに,ソフトウエア・ベンダーやWebサイト運営者に通知する。対象が海外製品/サイトの場合には,米CERT/CCといった海外のコーディネーション・センターとともに調整作業を行う。

 同制度は経産省の告示に基づくもので,法的な強制力はない。しかしながら,同制度が公表されてからほぼ1年が経過した現在,成果が見え始めた。そこで本稿では,IT Proで掲載した「脆弱性届け出制度」関連記事をまとめた。

公表から受付開始まで

 制度の公表後,経産省はパブリック・コメントを募集した。また,受け付け開始後,東京や福岡,大阪,名古屋で説明会を実施した。しかしながら,開始してからしばらくの間は認知度が低く,「(セキュリティ・ホールが報告された)サイト運営者に連絡すると,『振り込め詐欺』などに間違われそうになったたことがある」(関係者)という。

「脆弱性情報を受け付けます」,IPAが窓口を設置へ [2004/04/06]

IPA、ソフトやWebサイトのぜい弱性についての届け出窓口設置へ [2004/04/06]

経産省,脆弱性関連情報の取り扱い基準へのパブリック・コメントを募集開始 [2004/04/30]

IPA,ソフトウエアやWebサイトのぜい弱性情報の受け付けを開始 [2004/07/07]

IPAやJPCERT/CC,脆弱性情報の取り扱いに関する説明会を開催 [2004/07/20]

半年で100件超の届け出

 だが,認知度は徐々に高まり,届け出数も増えていった。およそ2カ月後には,ソフトウエア製品に関する届け出が14件,Webサイト(Webアプリケーション)に関する届け出が53件寄せられた。そして半年後には,累計でそれぞれ32件および140件にのぼった。だが,Webサイトについては,サイト管理者に連絡がつかないとの理由で2割が放置された。

IPAへのぜい弱性情報の届け出,開始から2カ月弱で67件に [2004/08/31]

「ソフトウエア製品などの脆弱性に関する届け出は半年で172件に」——IPA [2005/01/25]

報告されたWebサーバーの2割が危険を放置──IPAなどが警鐘 [2005/01/25]

海外製品のセキュリティ・ホールも指摘

 同制度で取り扱われ,ベンダーから対策方法などが明らかになったソフトウエアに関するセキュリティ・ホールは,「JP Vendor Status Notes」で公表されている(Webサイトについては非公開)。日本の制度ということで,主に国内で使われている製品に関する情報が多いが,海外でも広く使われている製品やプロトコルに関する脆弱性も同制度で報告されている。

複数のLDAPサーバーにセキュリティ・ホール,任意のプログラムを実行される [2005/01/13]

サーバー・ソフト「Tomcat 3.x」にDoS攻撃を受けるセキュリティ・ホール [2005/03/14]

Norton AntiVirusにOSが異常終了する脆弱性,LiveUpdateで解消できる [2005/03/30]