脆弱性情報の取り扱い、次の検討課題はシステムインテグレータの関与

IPAとJPCERT/CCは、7月8日よりスタートした「情報セキュリティ早期警戒パートナーシップ」制度についての説明会を開催。ソフトウェアベンダーの担うべき役割などが説明された。

[高橋睦美，ITmedia]

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）は7月20日、都内にて「脆弱性関連情報取り扱い説明会」を開催した。

　これに先立つ7月8日より、経済産業省の告示に基づく「情報セキュリティ早期警戒パートナーシップ」制度の運用がスタートしている。ソフトウェアやWebアプリケーションに存在する脆弱性情報の届出から検証、複数ベンダー間の調整や対応、対策方法と合わせた公表にいたるまでの枠組みを定めることで、悪用を避けながら適切に情報を流通、公表させ、対応を後押しすることを狙った制度だ。

　この制度では、IPAが「受付機関」となり、脆弱性の発見者からの届出を受け付け、内容の検証を行う。それがWebアプリケーションに関する脆弱性であればIPAが直接運営者に通知し、対応を促す。またソフトウェアに関する脆弱性ならば、JPCERT/CCが「調整機関」となって関連ベンダー間を仲介し、足並みをそろえた形で脆弱性情報の確認と対応状況のとりまとめを行い、45日をめど（あくまで目安であり、実際にはケースバイケースとなる）に情報を公開するという流れだ。

　このたび行われた説明会では、このパートナーシップにおける流れと各団体の役割、届出手順についての説明とともに、脆弱性を指摘されたベンダー側がとるべき対応についても解説が行われた。

脆弱性対応はベンダーの責務

　この制度は、大枠を定めた「情報セキュリティ早期警戒パートナーシップガイドライン」に沿ったものだ。この仕組みがうまく回っていくためには、ベンダー側の迅速な対応が欠かせない要素となる。そこで、製品開発ベンダー向けのガイドラインが電子情報技術産業協会（JEITA）／情報サービス産業協会（JISA）によって策定中だ。

　もしもあなたの会社が開発したパッケージソフトウェアについて、何らかの脆弱性が指摘されたとしたら、いったいどのように対応すればいいだろうか？　社内調整を行い、対応を進めていくための枠組みは整備されているだろうか？　「製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン」は、これまでのベンダーにはあまりなかった、そのような活動の指針をまとめるものだ。

　説明会では、JEITAの宮地利雄氏（脆弱性情報検討ワーキンググループ主査）により、「最終的なまとめはもう少し先の時期になる」というこのベンダー向けガイドラインの内容が紹介された。

　このガイドラインでは、社内の脆弱性情報取扱体制の立ち上げに際して、まず「経営責任を持った適任者」の了解を取り付けるよう求めている。その上で、対象製品の確認、ベンダー内CSIRT（Computer Security Incident Response Team）の設置を行い、JPCERT/CCの製品開発者リストに登録する。

　次の段階では、こうして立ち上げた脆弱性情報取扱体制を元に、既存の部署と連携しながら体制整備を行う。具体的には、開発部門や顧客支援部門との連携に加え、脆弱性対応を推進するための機能を、おそらく既に設置済みであろう品質管理の枠組みを活用して実現する。また、製品の脆弱性調査／対策作成のための業務フローを、開発作業とのバランスをとりながら組み立てていくことも含まれている。

　この中でベンダーCSIRTは、JPCERT/CCや顧客から直接寄せられる脆弱性情報の窓口となり、脆弱性対応における全社の司令塔的な役割を担う。いざ脆弱性情報が寄せられた際には、迅速かつ網羅的な調査のために必要な部署に脆弱性情報を開示しつつ、それが必要以上の範囲に漏洩しないよう注意を払うという相矛盾した要求の中で作業しなければならない。

　脆弱性情報の取扱と対応においてもう1つ難しい事柄がある。社外への連絡や情報公開だけでなく、社内での調整や支援が必要な点だ。

　たとえば、製品開発部門では機能などに重きが置かれがちだが、これに対しベンダーCSIRTは、その脆弱性がセキュリティ面からどんなインパクトを与えるかについて技術支援を行う。また、脆弱性情報公開のタイミングが、自社の戦略や利害とぶつかる可能性もあるだろうが、「場合によっては、『ベンダーとしてネットワーク社会を支えていく』という自負の下、利害を超えた他社との協調を求める」（宮地氏）といった具合に、さまざまな社内ネゴシエーションが不可欠になる。

　「脆弱性情報に対する適切な対応と、そのために必要な体制および手順の整備はベンダーの責務である」（宮地氏）。このベンダー向けガイドラインに沿った脆弱性対応とともに、はじめから脆弱性を作り込まない開発手法の研究、教育、脆弱性対策の展開といった面での取り組みが必要だと同氏は述べている。

SIerの関与が検討課題に

　JEITA／JISAがまとめる製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン、それにJPCERT/CCが作成するベンダー側窓口担当者向けのマニュアルによって、ソフトウェア製品に存在する脆弱性情報の受付、調査から対応までがカバーされるとして、問題は、Webアプリケーションの場合である。

　脆弱性が報告された場合、IPAでは必要に応じて検証／修正方法について助言を行う一方で、Webアプリケーションの運営者には迅速なレスポンスと脆弱性の修正を「お願い」している。また、特に個人情報の漏洩につながる恐れがある脆弱性の場合には、個人情報保護法およびそれに基づく政府の基本方針を踏まえ、二次被害を防ぐためにも事実関係の公表を行うべきとしている。

　だが現実には、運営者の数はベンダーに比べ非常に多くなる上、技術レベルやセキュリティ意識はばらばら。ソフトウェア製品のように「ガイドライン」的なものを定めるのは困難だ。この点については、発見-報告-対応の事例を積み重ね、脆弱性の種別ごとに統計情報を公表していくことによって、運営者側の意識の変化と社会的なコンセンサスの形成を促したい考えという。

　さらに会場からは、国内企業のITシステムの構築、運用において大きな役割を果たしているシステムインテグレータの関与について問う声も上がった。実効性のある対応を迅速に行うには、システムインテグレータを巻き込んだ枠組みが必要ではないか、というわけだ。

　JEITAの宮地氏も説明の中で、「今回の（製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のための）ガイドラインはカタログに載っているようなソフトウェアが対象。インテグレーションによるものや受注開発ソフトについても対応は必要なのだが、今後の課題だ」と述べている。

　この質問に対して経済産業省の川口修司氏（情報セキュリティ制作室課長補佐）は、「プロアクティブな対策を取るために脆弱性情報を知りたいというのももっともだが、一方でどこからか情報が漏洩してワームの発生などにつながる恐れも高まる。システムインテグレータも巻き込んで、どのように脆弱性情報を管理していくかについてのベストな答えはまだない」と述べた。

　川口氏によると、システムインテグレータの関与については、今まさに検討しているところだという。「今回の枠組みは、まず上流工程においてどのように脆弱性対策を実現するかというところにフォーカスしたものであり、これが第一歩。引き続き、システムインテグレータを巻き込み、他の機関と連携しながら、どのように下流のユーザーにまで手を伸ばしていくかを検討している。後半戦にぜひ期待してほしい」（同氏）。