【レポート】

オープンソースカンファレンス2005 Tokyo/Fall - 脆弱性情報の取り扱いにおけるオープンソースソフトウェア特有の問題とは?

 

IPA(情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)が共同で、ソフトウェアやWebサイトに関する脆弱性の情報を受け付け対応する「脆弱性情報取扱制度」は、スタートしてから1年以上が経過した。既に、同制度に基づいて数多くのソフトウェアの脆弱性に関する情報が提供され実際に改善が行われているが、その過程で問題が起きることも少なくないという。特にオープンソースソフトウェア(OSS)の場合、プロプライエタリなソフトとは開発体制等が異なるため、OSS特有の問題も発生しがちだ。そんな脆弱性情報取り扱いの舞台裏を、「オープンソースカンファレンス2005 Tokyo/Fall」で、JPCERT/CCの椎木孝斉氏が語った。

脆弱性情報取り扱い制度とは?

まず「脆弱性情報取扱制度」についてご存じない方のために、同制度がどのような仕組みなのかを改めておさらいしておこう。元々この制度ができた背景には、あるソフトウェアやWebサイトの脆弱性を発見した場合に、発見者が直接ソフトの開発元等に連絡しても開発元がまともに取り合ってくれない(場合によっては恐喝の一種と誤解されることすらある)という発見者側の不満がある一方で、脆弱性が見つかった場合に、それに関する対策が完了する前に情報が一般公開されてしまうかもしれないという開発者側の危惧もあった。そこで同制度においては、脆弱性の発見者はその内容を窓口であるIPAに提出し、IPA・JPCERT/CCはその内容を精査した上で通報内容が確かに脆弱性であると判断される場合、その旨を開発者側に通知して対策を要請。対策が完了しパッチ等の提供体制が整った段階で、脆弱性情報そのものとパッチの提供状況などを合わせて情報を公開する。また、ライブラリに脆弱性が見つかった場合など影響が複数のソフトに及ぶ可能性がある場合は、その影響範囲を可能な限り特定するよう努める。その他、CERT/CCなど海外のCSIRT(Computer Security Incident Response Team)から脆弱性に関する通報があったようなケースでは、JPCERT/CCが日本側の窓口になって情報公開の日時調整や国内ベンダとの連絡を行うという仕組みだ。

IPAやJPCERT/CCといった公的性格の強い機関によるチェックが間に入るため、開発者側から見ると脆弱性に関する通報の精度が高まり、さらに一般への情報公開前に情報が得られるため、パッチの作成などに関する猶予期間を得られるなど多くのメリットがある。発見者側にとっても、自分が直接通報することに比べIPAなどからのお墨付きがある分、開発者側の対応が良くなることを期待できる(少なくとも恐喝等と誤解される可能性はほとんどなくなる)。また、最終的に当該脆弱性の問題が解決した場合には、発見者として自分の名前をクレジットすることも可能になっているなどのメリットがあり、双方にとって有用な制度だと言われている。

脆弱性取扱におけるオープンソース特有の問題とは?

この制度は昨年7月にスタートし、既に1年以上に渡って運用されているわけだが、現在同制度に従い(脆弱性情報に関する)連絡先を登録しているベンダは101件に上っている。オープンソースソフト関連でも、連絡先を登録しているところが18件、また実際に脆弱性が発見されてIPA・JPCERT/CCが問題を取り扱った件数が13件に上っており、中にはtDiaryやNamazuといった比較的知名度の高いソフトも含まれている。

ただ実際のところは苦労も少なくないようだ。椎木氏は実際にオープンソースソフトウェアに関する脆弱性の問題を取り扱った経験から、オープンソース特有の問題として「既にプロジェクト自体がActiveでなくなっているために連絡が取れない」「連絡先としてメールアドレスしか記載されていない上、それ以外の連絡先を調べようがない」「開発者にメールを送ってもspam扱いされているのか返事がない」などを挙げた。それ以外にも椎木氏は「国際的に開発が行われているプロジェクトの場合、JPCERT/CCから直接連絡するのが良いのか、それともCERT/CCなどを通すべきなのか判断に迷う場合がある」「オープンソースのライブラリで広く商用製品に組み込まれているものなどは、影響範囲の特定が難しい」など、一筋縄ではいかない様子を語った。

オープンソースコミュニティ側からは「JP Vendor Status Notes(IPAとJPCERT/CCが、共同で脆弱性情報を提供しているサイト)に掲載されている情報の中で、CERT/CC等でアナウンスされていないものがある」「海外のベンダに対応を依頼する場合、CVE番号(脆弱性情報を識別するために振られる番号体系の一種)がないと先方が対応してくれないので何とかして欲しい」「日本で最初に発見された脆弱性の情報に関して英語での情報提供をして欲しい」などの要望が寄せられていると椎木氏は述べ、これに対し「CVE番号は現在、必要に応じて取得している」「海外との連携や英語での情報発信がまだ不十分な部分があるので今後強化したい」との見解を示した。

椎木氏は最後に「開発者への連絡や、(脆弱性の)影響を受けるバージョンの特定など、今後ユーザコミュニティに協力をお願いする場面がいろいろ出てくると思われるので、その際には積極的な協力をお願いしたい」と語り、脆弱性の取扱に当たり開発者だけでなくユーザコミュニティも重要な役割を果たすことを参加者に訴えていた。

10月16日には、このような説明会の開催も予定されている



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

TVアニメ『少年メイド』、9/4イベントに向けた出演キャストのコメント紹介
[00:26 7/27] ホビー
「BanG Dream!」、2ndライブのタイトル決定! 2nd Sgの特典MVより追加カット
[00:06 7/27] ホビー
舞台「ダイヤのA」1&2の上映会、小澤廉ら出演のトークショー付き
[00:00 7/27] ホビー
[ガヴリールドロップアウト]「電撃だいおうじ」の人気マンガがテレビアニメ化 監督とシリーズ構成は「うまるちゃん」コンビ
[00:00 7/27] ホビー
デルが注力するのは2in1 - アルミボディで液晶360度回転の13.3型「New Inspiron 13 7000 2-in-1」
[00:00 7/27] パソコン

求人情報