連絡不能開発者の氏名と製品に加え、内容も公開――IPAとJPCERT/CC

2機関では脆弱性対策に必要な連絡ができない開発者の名前と製品名を公開しているが、新たに脆弱性の内容も公開する方針に改めた。ユーザー保護を理由に挙げている。

[ITmedia]

　情報処理推進機構（IPA）とJPCERT コーディネーションセンター（JPCERT/CC）は5月30日、脆弱性対策に必要な連絡ができない開発者の名前と製品名の公表に、脆弱性の内容を追加する方針を発表した。

　IPAはソフトウェア製品の脆弱性に関する情報を発見者から受け付けて解析し、JPCERT/CCが開発者への連絡や情報公開などの調整を行っている。この中では開発者に連絡ができないケース（連絡不能案件）もあり、2機関では2011年9月から順次連絡のできない開発者名と製品名を公開して、第三者からの情報提供を求めてきた。

脆弱性情報の対応におけるフロー（IPAより）

　IPAによると、2014年3月末までに152件の連絡不能案件を公開し、21件は公開によって連絡ができるようになった。しかし、131件は連絡が取れないままになっており、ユーザーが脆弱性対策を講じられず被害を受けかねない状況が続いている。このため、2機関は新たに脆弱性の内容も公開することにしたという。

　脆弱性の内容が公開されることで、ユーザーは脆弱性によって予想される被害などを把握でき、製品の利用をやめたり、被害などの影響を緩和するための対応がとりやすくなるとしている。

　なお公開する脆弱性情報の内容の一部は、一般公開よりも先に特定のユーザーなどに提供されるケースがあるという。製品によってはユーザーの利用環境が特殊なケースもあり、「一般公開で初めて脆弱性情報を認知するよりも、対策に十分な時間を確保することができ、脅威をより確実に回避することが可能になると考えられる」（IPA）という。

　IPAとJPCERT/CCは、今回の運用変更のために脆弱性情報の取り扱いにおける関係者の行動基準を示した「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂版を公開している。