オープンソース／フリーソフトの脆弱性対策でJPCERT/CCとFSIJが協力

JPCERT/CCとフリーソフトウェアイニシアティブ（FSIJ）は、オープンソースソフトウェアやフリーソフトウェアのセキュリティ対策の強化を目的に協力していく。

[ITmedia]

　JPCERTコーディネーションセンター（JPCERT/CC）とフリーソフトウェアイニシアティブ（FSIJ）は5月30日、オープンソースソフトウェアやフリーソフトウェアのセキュリティ対策の強化を目的に協力していくことを発表した。

　JPCERT/CCでは2004年7月より、経済産業省の告示「ソフトウェア等脆弱性関連情報取扱基準」に基づき、ソフトウェアやWebアプリケーションに存在する脆弱性情報の受付および修正に向けた調整作業を行ってきた。情報処理推進機構（IPA）が窓口となって情報を受け付け、Webアプリケーションの脆弱性については運用者に直接通知し、対応を依頼する。一方ソフトウェア製品の脆弱性については、JPCERT/CCを介して開発元と連絡を取るほか、関連する他のベンダーなどにも連絡し、脆弱性の修正を図るとともに、利用者が危険にさらされないような形で対応策を公表する仕組みだ。

　一方、オープンソースソフトウェアやフリーソフトウェアの利用は広がっており、社会基盤の重要な一角を担うまでに浸透している。こうしたソフトウェアは商用ソフトウェアとは異なり、開発が特定の企業に依存せず、個人やコミュニティによって進められることが多い。

　JPCERT/CCによると、この点が、脆弱性に関する対策、調整を行ううえで課題となることも多いという。例えば、当該ソフトのセキュリティ対策責任者の特定に時間がかかるケースがあるほか、最善な対応策の実施、公表方法についても検討が必要という。

　JPCERT/CCはFSIJと協力することにより、社会における重要性が増しているオープンソース／フリーソフトウェアに発見された脆弱性の迅速な解決を目指す。合わせて、オープンソース／フリーソフトウェアのセキュリティ強化の必要性について理解を得る活動も展開していく計画だ。