ニュース
2004/04/30 19:42 更新
経産省が「脆弱性関連情報取扱基準」に対するパブリックコメントを募集
経済産業省は、ソフトウェアやWebアプリケーションの脆弱性情報の取り扱いに関する「ソフトウエア等脆弱性関連情報取扱基準」の案をまとめ、5月28日までパブリックコメントを募集する。
経済産業省は4月30日、ソフトウェアやWebアプリケーションに存在する脆弱性情報の届出、検証および公開にいたる一連の取り扱いに関する「ソフトウエア等脆弱性関連情報取扱基準」の案をまとめ、パブリックコメントの募集を開始した。
この基準は、情報処理推進機構(IPA)が4月に公開した、「情報システム等の脆弱性情報の取扱いに関する研究会」の報告書を踏まえてまとめが進められているもの。この報告書では、脆弱性情報の取り扱いに関する一連の枠組みと役割についてまとめた「公的ルール」策定の必要性が提言されていた。
同省によると、この基準は法的拘束力はないものの、ソフトウェアメーカーやWebサイト運用者に脆弱性解消のための行動を促すためのもの。法的な罰則こそないが、たとえば裁判の際には、この基準に従っているかどうかが過失判断に影響する可能性が高いことから、関連する事業者に一定のインセンティブ付けができると期待しているという。
このたび公開された基準案は、問題の発見者、受付機関、調整機関、製品開発者もしくはWebサイト運営者それぞれに対し、脆弱性を発見した場合のあるべき対処について定めている。
その中には、興味深い項目がいくつか見受けられる。たとえば、問題の発見者に対しては「違法な方法により脆弱性関連情報を発見又は取得しないこと」が求められている。一方で、製品開発者やWebサイト運営者が、問題の対策方法を作成し、関連機関に通知したり一般に公開するまでの期間は「速やかに」となっているだけで、特段定められていない。ただ、ソフトウェアの脆弱性の場合、開発者側が真摯に対策作成に取り組んでいないと認められる場合は、調整機関がその会社名を公表することができる、という規定も盛り込まれている。
経済産業省では5月28日まで、電子メール、FAX、郵送を通じてコメントを受け付ける。そのコメント内容を踏まえたうえで最終的な基準をまとめ、6月末には告示を行い、早ければ7月より施行する計画だ。
関連記事
脆弱性情報の告知・公開のルール作りが前進関連リンク
経済産業省:「ソフトウエア等脆弱性関連情報取扱基準(案)」等に対する意見の募集[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
