「脆弱性情報はこう公表しよう」、IPAがマニュアルを公開

情報処理推進機構は、脆弱性に関して公表すべき項目などをまとめた「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公開した。

[ITmedia]

　情報処理推進機構（IPA）は5月30日、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を公開した。ソフトウェア製品やWebサイトに存在する脆弱性情報の取り扱い方法をまとめることで、セキュリティ対策の推進を図ることが狙いだ。

　IPAでは2004年7月より、経済産業省の告示に基づき、「情報セキュリティ早期警戒パートナーシップ」を運用してきた。脆弱性の発見から対応、情報公開までのプロセスを、ベンダーと複数のセキュリティ機関が協力して進めるもので、2007年3月までにソフトウェア製品とWebアプリケーション合わせて1299件の脆弱性が届出られている。

　IPAではこうした経験を踏まえ、ソフトウェア開発者が過去にリリースした製品に脆弱性が存在することを知りながら、適切な対策情報を公表しない場合は、ユーザーの情報資産や社会活動を危険にさらす結果を招きかねないと指摘。その上で、「製品開発者は速やかに脆弱性対策を施し、利用者に的確な脆弱性対策情報を提供することが望まれる」としている。

　公開されたマニュアルは、「情報システム等の脆弱性情報の取扱いに関する研究会」における検討を踏まえ、IPAのほかJPCERTコーディネーションセンター（JPCERT/CC）など6団体がまとめた。「的確な脆弱性対策情報の提供」をどのように行うかの指針が具体的に述べられており、公表すべき項目と公表例、Webページから脆弱性対策情報への誘導方法などが記されている。また逆に、望ましくない公表例なども含まれている。

　IPAでは同マニュアルを、製品開発者が脆弱性対策情報を公表する際の参考にしてほしいとしている。