Webアプリケーションは公表義務なし

ソフトウェアとは異なり、Webアプリケーションの脆弱性については手順が異なる。受付機関はIPAで変わらないが、調整が多数のベンダーにまたがらない、などの理由でJPCERTはかかわらず、IPAが直接Webサイト運営者と調整を行う。実際に脆弱性があるかどうかの検査、修正の方法について、IPAは支援も行うが、基本的に運営者が対応を行う。運営者からの要請やIPAが必要と判断した場合は、再現性を確認、修正完了の確認も実施する場合もあるようだ。

脆弱性があったかどうかについては、ソフトウェアの脆弱性とは違い、公表する義務はない。ただし、それによって個人情報漏えいがあった場合には、2次被害を防ぐために公表することが個人情報保護法に伴い閣議決定されているので、その時は公表することが求められる。

Webアプリケーションの脆弱性におけるIPAの役割	Webサイト運営者への「お願い」

脆弱性の発見者に関する情報の取り扱い

発見者への「お願い」

ベンダー側の対応

今回の枠組みでは、製品開発者登録リストへの登録のように、ベンダー側にも対応が求められている。具体的な対応については、JEITA、JISAの連名で、ベンダーにおける体制と手順整備のためのガイドラインの骨格がほぼ固まったとして、JEITAの宮地氏から説明された。

このガイドラインは、脆弱性情報取り扱いに関してベンダーが社内体制や取り扱い手順を制定する際の最低要件と、あるべき方向を示すためのもの、とされている。情報の受け取り、調査、対策の作成、公表と周知までの活動を扱う。

ガイドラインの目的	ガイドラインの構成

社内体制として、まず経営者の了解を取り、JPCERTへベンダーとして登録する。さらに窓口として「ベンダーCSIRT」を整備する。これはベンダーにおける情報の受け取りと調査の指示などを担当するチームだ。他の業務の人間が兼務してもかまわないが、1営業日以内にはJPCERTからの問い合わせにメール応答を返せる体制が望ましいとされている。

脆弱性情報が報告された場合は、このベンダーCSIRTの指示のもと、迅速、網羅的に調査を行わなければならないが、脆弱性情報を知る範囲は最小化しなければならず、ベンダーCSIRT、経営トップ、関連する製品開発部門だけにとどめるという点も重視される。社内から情報が漏れないような体制、ルール作りも必要となる。

ベンダーCSIRTは、脆弱性対応における全社への司令塔だ。ユーザーの安全を観点に総合的に判断、ベンダーとしての対応方針を打ち出さなければならず、時には自社の利害を超えて他社と協調することを開発部門に求めることもありうるそうだ。さらに脆弱性対応の推進と管理を行う機能、開発部門の役割の再定義、顧客への周知や問い合わせ対応、その他の部門の役割などと、全社的な幅広い対応が求められている。

ベンダーを中心とした脆弱性情報取り扱い手順

「脆弱性情報に対する適切な対応と、そのための体制・手順の整備はベンダーの責務」と宮地氏は述べる。ガイドラインとしては定めないものの、今後のベンダーの課題として「脆弱性を作り込まない開発手法の研究や教育」「出荷後の製品の脆弱性解消のため、コスト負担を含めた顧客の理解を得るため、社会的なコンセンサスの形成を目指す」といった点を挙げる。

ガイドラインのまとめと課題

今回の取り組みは、経産省が告示を定めているが、「経産省が勝手にやったわけではない」(川口課長補佐)ということで、日本全体でこの枠組みをうまく活用できるように、内閣官房らとも話し合いを進めたそうだ。今回経産省の立場で説明をした川口課長補佐の所属する情報セキュリティ政策室は、現在内閣官房 情報セキュリティ対策推進室の山崎琢矢・参事官補佐の古巣であり、山崎氏自身、経産省時代に今回の枠組みに取り組んでいたことから、実際に政府全体としてこの枠組みを推進していく構えはできていそうだ。

ちなみに現時点ですでに10件の脆弱性情報が届けられており、数としてはソフトウェアの脆弱性の方が多いという。関係者によれば、Webサイトの運営者への通知でも、基本的に好意的に受け取られているそうだ。