独立行政法人 情報処理推進機構(IPA)は4月6日,ソフトウエアやWebサイトの脆弱性情報の届け出窓口を7月に設置することを発表した。報告された脆弱性情報は,有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)とIPAが中心となり,脆弱性の内容を調査し,対策を講じるよう関係者に通知する。
脆弱性情報の届け出窓口の設置は,2003年10月に経済産業省が公表した「情報セキュリティ総合戦略」の一環として行われる施策の一つ。2003年11月からIPAで「情報システム等の脆弱性情報の取扱いに関する研究会」で議論され,今年3月末に検討結果がまとめられた(報告書)。現状のままでは罰則規定などはないが,経済産業省は,6月下旬から7月初めまでに脆弱性情報の取り扱いに関する公的ルール(告示)を定める予定であり,この制度の周知徹底を図る。
「これまで一般ユーザーが脆弱性を確かめようとしても,不正アクセス禁止法などの法律に違反すれすれの行為をしなければ調査できなかった。これからはIPAに報告してくれれば,こうしたリスクを回避できるようになる」(IPA セキュリティセンター センター長 早貸淳子氏,写真)。米国では同様の脆弱性情報の報告が1年間に5000件弱あり,日本からの報告も多くあるという。
ソフトウエアに関して報告された脆弱性は,関係するベンダー各社とJPCERT/CCが連携し,対策を講じる。脆弱性が発見された時点で,修正プログラムがなくても回避方法を公表する。修正プログラムが完成後,脆弱性そのものについては公表するが,攻撃方法や検証方法については公表しない。修正プログラムや回避方法について,ユーザーへのアナウンスはIPAが担当する。ソフトウエアの修正期間は,「脆弱性の大きさや関連するベンダーの数にもよるが,基準となる日程を設ける予定」(早貸氏)である。ちなみに米国のCERT/CCでは45日と設定している。
Webサイトの脆弱性は,IPAが直接,サイトの運営者へ通知する。脆弱性があったサイトの具体名などは公表しないが,脆弱性があるサイトの数やそれを修正した数など統計情報はIPAが発表する。サイトの運営者が対策を講じなかった場合に強制力はない。しかし,「IPAからの通知後に,サイトの運営者が何も対策をせず情報漏洩などが発生した場合,サイト側が何も知らなかったと責任を逃れることは難しくなる」(早貸氏)。
