脆弱性情報届出制度、いよいよ7月8日より開始

ソフトウェアやWebアプリケーションに存在する脆弱性の届出と受付、検証、関係機関との調整と対策方法の公開までを担う枠組みがようやく動き出す。

[高橋睦美，ITmedia]

　ソフトウェアやWebアプリケーションに存在する脆弱性を発見したとき、それをどのように相手に知らせ、適切に対処してもらえばいいだろう？　また、こうしたクリティカルな情報の悪用を防ぎながら、対策方法をユーザーに確実に知らせるには、どうすればいいだろう？

　なかなか「これ」という正解のないこの課題に対し、情報処理推進機構（IPA）やJPCERTコーディネーションセンター（JPCERT/CC）といった期間が連携しながら、脆弱性情報の届出受付、関連機関との調整と対策策定、公表にいたるまでの流れを支援する枠組みが提案されている。この枠組みがいよいよ、7月8日より動き出すことが明らかになった。

　この枠組みは、IPAが4月に公表した「情報システム等の脆弱性情報の取り扱いに関する研究会」の報告書を元に、経済産業省がまとめた「ソフトウエア等脆弱性関連情報取扱基準」に沿って動くことになる。経済産業省ではこの取扱基準に対するパブリックコメントを募集していたが、その一部を容れ、若干変更を加えたうえで7日に告示。7月8日より正式に運用を開始する。

　対象がソフトウェアか、あるいはWebアプリケーションかによって流れは若干異なるが、脆弱性を発見した場合、IPAはその情報を受け付け、内容を確認する。対象がソフトウェアである場合、JPCERT/CCにその情報を通知し、JPCERT/CCがベンダーや海外機関との「調整役」となって脆弱性情報や対策の公開までを担う仕組みだ。一方、Webアプリケーションの脆弱性については、IPAが直接、Webサイト運営者に通知を行うという。

　なお、この取扱基準をより有効に活用するため、一連の枠組みに関わる関係者／業界に推奨する行為や心得ておくべき法的問題をまとめた指針として、情報セキュリティ早期警戒パートナーシップガイドライン」も取りまとめられる予定だ。

　IPAとJPCERT/CCでは、この取扱基準やガイドラインについて説明する「脆弱性関連情報取り扱い説明会」を、全国5都市で開催する。

　この枠組みによって、問題を発見した側が個別に対応を求める場合に比べ、明確なプロセスの下で一元的に脆弱性情報を扱えるほか、ベンダー／Webサイト運用者には迅速な対応が期待できる。

　一方で課題も残る。もっともポイントとなるのは、どれだけ多くの脆弱性発見者とベンダー、Webサイト運営者を巻き込み、信頼関係を築けるかどうかだろう。話は若干それるが、先日総務省が発表した調査結果では、ウイルスやワームの被害にあった上場企業のうち、IPAやJPCERT/CCに届け出を行った割合は全体の約3％、約10％にとどまっているという数字も出ている。多くの企業がこの枠組みを認識し、活用しようとしない限り、有効な脆弱性情報流通は望めないだろう。