IPA、脆弱性関連情報の届出受付を開始

IPAは、ソフトウェア/Webアプリケーションの脆弱性関連情報に関する届出の受付を始めた。また、脆弱性関連情報の流通関係者の指針をまとめたガイドラインも公表された。

» 2004年07月08日 22時53分 公開
[ITmedia]

 情報処理推進機構(IPA)は7月8日、ソフトウェア/Webアプリケーションの脆弱性関連情報に関する届出の受付を始めた。

 ウイルスや不正アクセスによる攻撃はソフトウェアの脆弱性を悪用したものへと移ってきているが、脆弱性への対応はソフトウェアベンダーの利益に直接結びつくにくいなど自発的な改善はなかなか進んでおらず、またこれまで脆弱性が発見された場合の対応基準もなかった。このような背景を踏まえ、脆弱性関連情報をどう取り扱うべきかのルールを定めて始まったのが今回の制度だ。

 この制度は7月7日に経済産業省が告示した「ソフトウエア等脆弱性関連情報取扱基準」に基づいており、IPAはこれに基づいてソフトウェア/Webアプリケーションの脆弱性発見者からの届出を受け付けた。発見者は、PGP暗号鍵を利用した電子メールでIPAに届出を行える。

 ソフトウェアの脆弱性の場合は、届出を受けたIPAが情報の受理/不受理を判断し、IPAが調整機関のJPCERT/CCに情報を通知、JPCERT/CCが製品開発者とやり取りする。JPCERT/CCと開発者の間で脆弱性情報と対応状況の公表日を決め、その後ポータルサイトで公表する流れ。一般公表までの期間はIPAが届出を受理してから45日を目安としている。

 Webアプリケーションの場合は、IPAが発見者からの届出を受け付け、Webサイト運営者に直接連絡。運営者が調査、修正を行い、修正通知をIPAに連絡。この脆弱性が原因で個人情報などが発生した可能性がある場合は、二次被害防止のために公表する必要がある。

 経産省が7月7日に公示した「ソフトウエア等脆弱性関連情報取扱基準」を基に、指針をまとめたガイドラインが8日公開されている。

 脆弱性の発見には不正アクセス禁止法などが深くかかわってくる。ガイドラインの中では、発見者が脆弱性関連情報を利用してアクセス制御機能を回避したり、管理者の了解なく他人のパスワードを取得してシステムにアクセスすることは法に抵触するとしているが、反対にWebサイトの運営側には、「URLの一部にパスワードが判別可能な形式で明示されている」「本来閉じられているべきtelnet等のポートが空いており、administratorのパスワードが付与されていない」「ウェブサイト運営者が公開を意図していないファイル(個人情報ファイル等)が、ウェブサーバに、誰にでも閲覧できる状態で(アクセス制限なしに)置かれている」など具体的なケース示して、改善を求めている。

 また、ソフトウェアについては、一般的に製造物責任が問われないと解釈されているものの、「電気機器や電子部品その他の工業製品等に組み込まれたソフトウェアは動産である製造物」に当たるとして「製造物責任法に定める責任規定の適用がなされることがありえ」るともしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ