脆弱性が修正されないソフトは使用中止の検討を――IPAが新制度
ソフト開発者と1年以上連絡が取れないケースではユーザーの安全を考慮し、使用中止の判断ができるようにするという。
情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)は9月3日、長期にわたって脆弱性が修正されない状態となっているソフトウェア製品の情報を公開する新たな制度の運用を開始した。こうしたソフトではユーザーが危険な状態に置かれたままになるため、新制度は「当該製品を使用しないという選択を可能にするため」だとしている。
IPAとJPCERT/CCは、2004年7月から「脆弱性関連情報届出制度」を運用する。これまで2123件の届出があり、うち1836件を脆弱性として受理し、1667件でソフトウェア開発者による修正対応などが行われている。しかし、169件は開発者と連絡が取れない状況で、脆弱性が放置されたままになっている。2011年からは「連絡不能開発者一覧」を公表して、開発者との連絡につながる情報提供を求める運用も行っている。
今回の新制度は、こうした取り組みでも連絡ができない開発者と製品の情報について、IPAの「公表判定委員会」で審議し、妥当と判断されたものを「Japan Vulnerability Notes JP (連絡不能)一覧」公開する。IPAは同日、クロスサイトスクリプティングの脆弱性が報告されている2製品・計2件の情報を公開した。
公開された情報ではこれまでの対応経緯や公表理由などを説明し、ユーザー向けに「使用中止を検討してください」と記載している。IPAは、「ユーザーも自主的に脆弱性情報を収集し、安全な利用環境の保持に努めることが一層求められる」と新制度への理解を求めている。
関連記事
- 連絡不能開発者の氏名と製品に加え、内容も公開――IPAとJPCERT/CC
2機関では脆弱性対策に必要な連絡ができない開発者の名前と製品名を公開しているが、新たに脆弱性の内容も公開する方針に改めた。ユーザー保護を理由に挙げている。 - 連絡不能開発者、公表してもコンタクトが難しい状況に
IPAとJPCERT/CCは脆弱性対応などで連絡がつかない開発者情報を公開。前四半期に公開した8件について、進展がないことから追加情報を公開した。 - 脆弱性対策で連絡が取れない開発者を公表、IPAとJPCERT/CC
ユーザーが被害を受ける可能性を低減するため、脆弱性対策などで連絡が取れずにいる製品開発者を公表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.