ニュース
2004/04/06 16:49 更新
脆弱性情報の告知・公開のルール作りが前進
情報処理推進機構(IPA)は、ソフトウェアやWebアプリケーションに存在する脆弱性の情報をどのように通知し、エンドユーザーに被害を及ぼさない形で対策方法を公開するための枠組みをまとめた。
情報処理推進機構(IPA)は4月6日、ソフトウェアやWebアプリケーションに存在する脆弱性の情報をどのように通知し、エンドユーザーに被害を及ぼさない形で対策方法を公開するかについてまとめた報告書を公表した。
経済産業省は2003年11月に発表した「情報セキュリティ総合戦略」の中で、「脆弱性に対処するためのルールと体制の整備」の必要性に言及している。ウイルスや不正アクセスの発生状況を把握したり、リアルタイムにインシデント情報を観測するだけでなく、その原因となる脆弱性を事前に把握することによって、被害の発生を抑え込むことが目的だ。
今回公表された報告書は、これを踏まえて設置された「情報システム等の脆弱性情報の取り扱いに関する研究会」による検討結果をまとめたもの。同時に、脆弱性情報の取り扱いに関する一連の枠組みと役割についてまとめた「公的ルール」および「民間ガイドライン」の策定についても言及している。
これまで国内では、セキュリティ研究者がOSやアプリケーション、あるいはWebサイトの脆弱性や欠陥を発見しても、個別に通知し、ベンダーやサイト運営者による自発的な対策を促すしか手立てはなかった。だが今回の報告書によって、業界全体を包含した脆弱性情報の流通・調整と告知、修正の枠組みに、ようやく目星が付いたことになる。
ソフトウェアとWebアプリ、2種類のフロー
この報告書は脆弱性を、大きく「ソフトウェア製品の脆弱性」と「Webアプリケーションの脆弱性」の2タイプに分け、それぞれについて脆弱性や攻撃コードの発見から届出、検証と通知、修正、対策方法の公表といった一連の流れについてまとめている。
この枠組みでは、セキュリティ上の脆弱性に気が付いた発見者はまず、第三者機関として情報を集約、分析するIPAに届け出ることになる。IPAではその脆弱性情報を分析、検証したうえで、当事者に脆弱性に関する情報を通知する仕組みだ。このとき、受付機関たるIPAが、発見者本人の許しなしに発見者の氏名や連絡先といった情報を通知することはないという。
この先の流れは、脆弱性の性質によって異なってくる。
まずソフトウェア製品に存在する脆弱性の場合は、「脆弱性そのものや攻撃コード/検証コードに関する情報は、必要以上に多くの人に知らせるのではなく、ベンダーなど対策を取る限られた人の間で機密を維持しながら共有する。一方で、エンドユーザーにあまねく伝える必要のある対策情報は、広く、迅速に告知していく」(IPAセキュリティセンター長の早貸淳子氏)というポリシーに沿ってフローを動かしていく。
ここで問題となるのは、先に明らかになったSSLの脆弱性のように、複数の製品に影響を及ぼす脆弱性に対処する場合だ。この場合、どれか1つの製品だけが突出して対策し、関連情報を公開してしまうと、同じ脆弱性を持つ他の製品を利用しているユーザーに影響が及びかねない。このため、脆弱性の有無を確認するだけでなく、複数のベンダーの間で修正や情報公開の時期を調整する必要が生じる。
この部分については、CERT/CCと提携して脆弱性情報ハンドリング体制の整備を進めているJPCERT/CCが担うことになる。JPCERT/CCは同時に、海外から寄せられる脆弱性情報の通知および対処スケジュールの調整にも当たる。
一方、Webアプリケーションの脆弱性については、「往々にして当該サイトのみの問題であり、他のサイトに影響することはほとんどないと考えられる」(早貸氏)ことから、情報流通のフローはぐっとシンプルにした。IPAでは届出を受けて脆弱性を分析したうえで、Webサイト運営者に脆弱性について通知を行う。
Webサイト運営者はそれを受けて影響範囲の確認と修正を行い、対策が完了すればIPAに報告する、という流れだ。また、それが原因となって個人情報の漏えいといった深刻な事態が生じていたことが確認された場合は、「個人情報の保護に関する基本方針」に沿って可能な限り事実関係を公表すべきという(関連記事参照)。
ソフトウェアの脆弱性の場合、エンドユーザーにもパッチ適用などの対策が必要になることが多いため、個々の対策および回避情報について公開する方針だ。だがWebアプリケーションの脆弱性の場合は、当面、個別のサイトごとに問題点を公表することはしないという。代わりに、どういった脆弱性がどのくらい存在するかをまとめた「統計情報」を公表し、ユーザーに注意を促す方針だ。
残念ながら、いくら脆弱性情報を通知し、修正を促しても、対応をとろうとしないベンダーが存在する可能性もある。経済産業省ではそうしたケースに備えて、脆弱性の内容を適切な形で一般に公開することも検討しているということだ。脆弱性を抱えたWebサイトについても同じことが言えるという。
ただ、「この枠組みがうまく回れば、脆弱性情報の通知を無視するようなケースも減るのではないかと期待している」(経済産業省商務情報政策局情報セキュリティ政策室の山崎琢矢氏)。強制力こそないものの、IPAがきちんと通知を行うことにより、Webサイト運用者は「問題を知らなかった」などと言い逃れをすることが困難になるからだ。また早貸氏は、将来的にこの枠組みが一種の「慣習法」となれば、民事訴訟の場において、サイト運用側の過失認定や責任追及の一助になるのではないかと述べている。
一方で早貸氏は、今回の枠組みは、不正アクセス禁止法に触れるような行為の法的責任を免除するものでは決してなく、不法な手段によるものと判断される脆弱性情報については処理しないケースもあると指摘している。
だが同時に、「これまでは、一般ユーザーやセキュリティ研究者が脆弱性を発見しても、個人としてベンダーやサイト運営者と交渉する以上、多くの時間やコストをかけることになりつらい思いをしていたし、ときには不正アクセスすれすれの行為を行って脆弱性の存在を証明する必要に迫られていた。しかし、こういった脆弱性情報流通の仕組みが出来上がることによって、『怪しい』と感じた段階でIPAに届け出ることができるようになり、リスクを避けることができる」(早貸氏)。
社内体制の整備も
こういった枠組みが出来上がるとなると、ソフトウェアベンダーやWebサイトを運用する企業・個人にも、窓口の設置や社内体制の整備など、相応の準備が求められることになる。
これに関しては、ガイドラインの中でおおまかに、脆弱性情報の通知を受けた際のあるべき振る舞いなどについて記されている。経済産業省ではさらに、「脆弱性情報を受け取ったときの社内における取り扱いポリシーやガイドラインが必要になってくるだろうことを踏まえ、JEITA(電子情報技術産業協会)にワーキンググループを設置し、ルールの検討、整備を進めてもらっている」(山崎氏)。
同省はこれと並行して、政府および電力をはじめとする重要インフラを構成する企業や事業者に対して優先的に脆弱性情報を提供し、早期に対処を行う枠組みも検討しているという。
ユーザーの保護という観点から残る問題は、脆弱性発見の届出がなされベンダーやWebサイト運用者が対応を開始してから、どのくらいの期間のうちに対策方法を準備すべきか、である。だが残念ながらこれは、脆弱性の性質によってまちまちなのが現状だ。
IPAではソフトウェアの脆弱性修正について、一定の目安となる期間を、公的ルールおよび民間ガイドラインが策定される7月をめどに決定する方針だが、それはあくまで「目安」。実際の対応においては、脆弱性の内容や深刻さを勘案しながら、個別に調整していくことになるだろう。Webアプリケーションの脆弱性についても同様だ。簡単な設定変更で修正できるものから、なかなか手を入れにくいものまで、脆弱性の内容はさまざま。後者に関しては、特に目標日数を定めるつもりはないという。
IPAが示した報告書によると、今後は、一連の枠組みについてまとめた公的ルールおよび民間ガイドラインの内容を詰め、公的ルールについては4月下旬にもパブリックコメントを募集する方針だ。その意見を反映させたうえで、6月下旬から7月初めの時期に、この枠組みに沿った脆弱性情報の取り扱いを開始する計画という。
脆弱性情報の流通に関しては、すべてを明らかにすべきという「フルディスクロージャ」論が唱えられることもある。しかし、「かつてのようにPCを使う人がプロばかりで、自分で脆弱性に対処できる時代ならばともかく、今はあらゆる人がPCを使い、インターネットを利用している。こういった時代には、脆弱性情報を適切に制御する枠組みが必要だ」と早貸氏は述べている。
関連記事
オープンソース脆弱性データベース公開個人情報保護に関する基本方針が閣議決定、民間事業者には3つの要請皆で幸せになれる? JPCERT/CCが脆弱性情報の適切なハンドリングを強化米政府、脆弱性情報の提供促すプログラム開始定点観測ならではの予防情報を――JPCERT/CCがいよいよ「天気予報システム」開始脆弱性実証コード公開の「法的立場は不透明」関連リンク
情報処理推進機構経済産業省[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
