 |
情報システムのセキュリティ情報の配信などを手がける非営利団体、JPCERTコーディネーションセンター(JPCERT/CC)は、ソフトウエアやハードウエアに関するぜい弱性情報の収集/配信体制を強化すると発表した。JPCERT/CCがぜい弱性の報告を受けた場合、その情報をすぐには公表せず、ベンダーがぜい弱性対策を公開するタイミングに合わせて公表する。ベンダーとの連携を密にし、ぜい弱性情報を制御することで、ぜい弱性を突いたウイルスのまん延や不正アクセスによる被害を最小限に抑えるのが狙い。最終的に300~500の国内ベンダーとの連携を見込んでいる。
米CERT Coordination Center(CERT/CC)ぜい弱性情報ハンドリングチームマネージャであるショーン・ハナン氏(写真)によれば、「ぜい弱性についての情報をうかつに広めると、ベンダーによる対策が完了する前に、そのぜい弱性を利用するウイルスや不正アクセスによる被害が発生する危険性がある。重大なセキュリティ・ホールの場合、情報を出すタイミングを誤ると、インターネットがパニックに陥りかねない」。そこで、CERT/CCはぜい弱性情報を管理し、関連するベンダーにだけ通知する方針を採っている。これまでJPCERT/CCはこうした管理を徹底できていなかったが、今回の体制強化でようやく米国に追いついた。
国内のハードウエアやソフトウエアの主要ベンダーは、あらかじめJPCERT/CCと確認書を取り交わし、製品ごとの連絡先を伝えておく。JPCERT/CCは、ぜい弱性情報を受けるとすぐにベンダーに通知する。ぜい弱性情報の公開期日は、ベンダーの対策に合わせて両者で調整する。
日米の連携も強める。日本のベンダーの製品に米国でぜい弱性が発見された場合、JPCERT/CCが窓口になってCERT/CCと詳細な情報をやり取りし、ベンダーに提供する。CERT/CCが開発したセキュリティ情報配信ツールなども、今後取り入れていく予定である。
