脆弱性情報届出ガイドライン改定、重要インフラ分野への優先的情報提供などを追加

IPAとJPCERT/CCは「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂し、Webサイト上で公開した。

» 2007年06月12日 17時00分 公開
[ITmedia]

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は6月11日、ソフトウェアやWebアプリケーションに存在する脆弱性情報の届出、流通に関する指針を改訂した。「情報セキュリティ早期警戒パートナーシップガイドライン 2007年版」としてWebサイト上で公開している。

 IPAとJPCERT/CCでは2004年7月より、経済産業省の公示「ソフトウエア等脆弱性関連情報取扱基準」に基づき、ソフトウェア/Webアプリケーションの脆弱性関連情報に関する届出を受け付けてきた。修正パッチや適切な対応方法の準備がないまま脆弱性情報が公開され、不正アクセスやウイルスによる被害を防ぐことを目的とした制度だ。運用開始から2007年3月末までの間に、ソフトウェア製品とWebアプリケーション、合わせて1299件の脆弱性に関する届出が寄せられている。

 IPAとJPCERT/CCはこの制度を通じて、官民における情報セキュリティ対策における情報共有、連絡体制の強化が図られてきた一方で、最近では、攻撃の兆候や被害の影響が「見えにくく」「気付きにくく」なっていると指摘。こうした背景を踏まえ、これまでの運用から浮かび上がった問題点、課題を整理し、ガイドラインの改定を図った。

 具体的には、電気や水道、ガス、情報通信や航空、鉄道といった重要インフラ分野に対する優先的な情報提供を追記。また、ソフトウェア製品の開発者に向けて、脆弱性対策情報の望ましい公表手順をまとめ、付録として加えている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ