IPA、ソフトウェア製品における脆弱性の減少を目指す「脆弱性検出の普及活動」開始

　IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、ソフトウェア製品における脆弱（ぜいじゃく）性の減少を目指す「脆弱性検出の普及活動」を、2011年8月から開始します。

　近年ソフトウェア製品において開発者が認知していない脆弱性（未知の脆弱性）を悪用する攻撃や事件が後を絶ちません。これらの攻撃や事件では、世界中で広く使用されているソフトウェア製品だけでなく、主に日本国内のみで広く使用されているソフトウェアや、産業用制御システムなども標的とされています。
　IPAとJPCERT/CCは2004年7月から、経済産業省の告示の下で「情報セキュリティ早期警戒パートナーシップ」を運営しており、ソフトウェア製品の脆弱性関連情報の受付と、製品開発者に対するその修正の依頼を実施しています。このパートナーシップ運営開始から7年が経過した2011年6月末時点で、累計1,207件にのぼるソフトウェア製品の脆弱性がIPAに報告されています。報告されたソフトウェア製品の脆弱性の中には、「ファジング」という技術によって発見された脆弱性（主に組込み機器）もあります。
　ファジングは、ソフトウェア製品などに何万種類もの問題を起こしそうなデータ（例：極端に長い文字列）を送り込み、ソフトウェア製品の動作状態（例：製品が異常終了する）から脆弱性を発見する技術です。ファジングは脆弱性検出に有効な技術であり、「情報セキュリティ早期警戒パートナーシップ」において検出の実績がありますが、日本では認知・普及が進んでいないのが実情です。
　このような背景を受け、IPAでは、2011年8月からファジングの有効性の実証および普及の促進を目的とした「脆弱性検出の普及活動」を開始することとしました。この活動では、IPAにて実際にファジングによる脆弱性検出を行うことで知見や実績を蓄積し、2012年第1四半期を目途にそれらを「ファジング活用の手引き」としてとりまとめ、公開する予定です。これにより、ファジングの認知度を向上させその普及を促進します。