情報処理推進機構(IPA)は6日、2003年11月から開催していた「情報システム等の脆弱性情報の取扱いに関する研究会」の検討結果をまとめた報告書を公開した。報告書では、脆弱性を発見した場合に届け出を受け付ける機関や、ソフトウェア製品の脆弱性の公表時期を調整する機関の必要性や、脆弱性情報を受け取ったメーカーや開発者に一定期間内に対処方法の公開を求めるルールの策定など、脆弱性関連情報の流通に関する枠組みを構築することが提言されている。
同研究会は、ソフトウェアの脆弱性が不正アクセスやウイルスなどに悪用されるケースが増えたことを受けて、政府が2003年10月に発表した「情報セキュリティ総合戦略」の提言に沿って、業界および国が脆弱性に対してどのように取り組むべきかという指針を検討するために設置されたもの。今回まとめられた報告書では、ソフトウェア製品とWebアプリケーションを対象として、脆弱性関連情報の流通の枠組みについての提言がなされた。
提言では、脆弱性が発見されてから、利用者に対処方法が公表されるまでの、脆弱性情報の流通に関する枠組みの構築が必要であるとしている。特に公的機関については、脆弱性の発見者からの届け出を受け付ける機関をIPAに一元化し、JPCERT/CCは脆弱性情報のメーカーへの連絡や公表時期の調整、米CERT/CC等の海外のセキュリティ対策機関との連携を担当するといった、各機関の役割の明確化を求めている。
また、脆弱性の発見者は届け出から対処方法が公開されるまでの間は第三者に情報を漏洩しないようにすること、脆弱性情報を受け取ったメーカーは一定期間内に対処方法を公表することといった、脆弱性情報の公開に関するルールの策定も必要だとしている。脆弱性情報を受け取ってからメーカーが対処方法を公開するまでの期間については現状では未定だが、提言では米CERT/CCは45日以内の公表を原則としていることを例として挙げている。
こうした枠組みを制度として保証するために、政府は関係者が守るべき指針などを定めた公的ルールを策定するとともに、脆弱性情報の発見者や製品開発者に求められる行動指針などを定めたガイドラインを公表し、運用していくことが必要だとしている。今後の予定としては、5月上旬にも政府の公的ルール案を公表して意見を募集し、7月上旬には運用の開始を想定している。
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/about/press/20040406.html
情報システム等の脆弱性情報の取扱いに関する研究会 報告書
http://www.ipa.go.jp/security/fy15/reports/vuln_handling/index.html
( 三柳英樹 )
2004/04/06 18:11
- ページの先頭へ-
|