2004/04/06

記事一覧へ >>

　2004年4月6日，情報処理推進機構（IPA）は「情報システム等の脆弱性情報の取扱いに関する研究会」の報告書を公表し，脆弱性を発見した場合の届出や情報の扱い方に関する枠組みを示した。「情報システム等の脆弱性情報の取扱いに関する研究会」は2003年11月に設置され関係機関や有識者など50名から成る。今回の枠組みを基に，4月中に関係者間の調整をし，5月にパブリックコメントで広く意見を集める予定。7月には届け出の受付を開始する意向だ。

　報告書の中で示された枠組みでは，適用範囲はソフトウェアとWebアプリケーションとし，脆弱性関連情報の届け出を受け付ける機関や脆弱性の公表時期を調整する仕組み，脆弱性関連情報の公表にかかわるルールなど10項目の基本方針を掲げている。具体的な関係機関として，(1)製品の脆弱性はIPAに届ける，(2)海外からの情報はJPCERTコーディネーションセンター（JPCERT/CC）に届ける，(3)製品開発者との調整はJPCERT/CCが，脆弱性情報の分析や対策方法の集積・開示はIPAが担当する，としている。

　今回公表した脆弱性関連情報の取扱いの枠組みやルールに法的な拘束力はない。だが，脆弱性の情報をIPAがソフトウェアの開発元もしくはWebアプリケーションの責任者・管理者に通知することにより，民事訴訟などで被害を被った側から責任を問われたときに彼らは「知らなかったふり」ができないようになる。

　これまでもJPCERT/CCは民間に向けて脆弱性などのセキュリティ情報を公開している。今回のルール作りに関し，「外資系の国内ベンダーは脆弱性情報への対応が比較的できているが，国内の大手ベンダーは体制が整っていない。枠組みを作ったので徐々に体制を整えていきたい」（JPCERT/CC）という。