IPAは18日、2005年12月に開始した「情報システム等の脆弱性情報の取り扱いに関する研究会」の報告書を公表した。それによると、2004年7月から2006年3月末までにIPAに届けられたソフトウェアやWebアプリケーションの脆弱性件数は、674件に上るという。
● 1日あたりの脆弱性届出件数は1.60件で増加傾向
IPAでは、2004年7月に脆弱性関連情報の届出制度を開始。脆弱性関連情報の受付、製品開発者との調整、対応状況の公表などを行なっている。報告書では、2004年7月から2006年3月末における脆弱性届出件数などをまとめた。
ソフトウェアの脆弱性届出件数は167件で、そのうち30件は不受理となった。受理された137件の内訳は、Webブラウザに関するものが21%で最多。以下は、Webアプリ構築関係(18%)、グループウェア(15%)、メールソフト(10%)と続く。これら上位4種類が全体の3分の2を占めた。2005年後半からは、オープンソースソフトウェアに関する届出が増加傾向にあるという。
IPAがソフトウェアの脆弱性情報の届出を受理してから、製品開発者が対応状況を公表するまでに要した日数についても発表した。それによれば、公表済みとなった61件の届出のうち43%は、情報セキュリティの確保のためにIPAなどがまとめた「情報セキュリティ早期警戒パートナーシップガイドライン」で定めた45日以内に公表されているという。ただし、平均公開日数は77日で、「調整に時間を要する現状がある」としている。
Webアプリケーションの脆弱性は507件で、そのうち35件は不受理となった。受理された472件の内訳は、クロスサイトスクリプティング(39%)とSQLインジェクション(21%)が圧倒的に多かった。2005年の特徴としては、SQLインジェクションの増加が目立つという。
Webアプリケーションの脆弱性から想定される脅威については、SQLインジェクションなどにより引き起こされる「データの改ざん、消去」が24%でトップ。2位は「Cookie情報の漏洩」の22%が僅差で続いた。
Webアプリケーションの脆弱性情報が指摘されてから修正されるまでに要する期間としては、全体の81%の届出が90日以内に修正されていた。
なお、2006年3月末時点の1日あたりの届出件数は1.60件で、2005年第2四半期の1.42件、同年第3四半期の1.57件、同年第4四半期の1.58件と着実に増えてきているという。
● 情報セキュリティ早期警戒パートナーシップが普及するためには
このほか報告書では、情報セキュリティ早期警戒パートナーシップの関係者であるソフトウェア開発者、Webサイト運営者、脆弱性の発見者に対して、同パートナーシップが普及するための方策を調査した。
IPAでは、パートナーシップ参加企業窓口メンバー宛に、ソフトウェア開発者から見たパートナーシップの課題を調査した。その結果、開発者はパートナーシップに参加することによって、未公開の脆弱性情報を入手できることにメリットを感じていることが判明。5割以上は「ほぼ期待通り、または期待以上の効果が得られた」としたが、2割程度は「あまり効果はない」と答えた。
また、IPAから脆弱性の通知を受けたWebサイト運営者に対して、運営者のニーズをヒアリングした。それによると、IPAから連絡を受けた担当者が、同制度を認知しているか否かによって、その後の対応に違いが生じるとの意見があったという。IPAでは、特に中小企業のWebサイト運営者に対して、同制度の知名度を上げる必要があると指摘している。
関連情報
■URL
ニュースリリース
http://www.ipa.go.jp/about/press/20060518.html
■関連記事
・ IPA、ソフトウェアやWebアプリの脆弱性情報の受け付け開始(2004/07/08)
・ 「ファイルの誤った公開」の届出が急増、IPAの脆弱性届出状況(2006/04/20)
・ IPAの脆弱性届出制度、Webサイト運営者への認知拡大が課題(2004/10/18)
( 増田 覚 )
2006/05/23 13:09
- ページの先頭へ-
|