ソフトウェア脆弱性届出制度、8日から運用開始へ - 45日以内の公表に

 

ソフトウェアやWebアプリケーションの脆弱性を発見した際の届出窓口、検証機関、その運用基準などを定めた「ソフトウエア等脆弱性関連情報取扱基準」が決まり、届出制度の運用が8日から始まることが決まった。経済産業省が窓口となって4月から5月にかけて募集されたパブリック・コメントがまとめられ、それらに基づいて経産省は従来の基準案を修正したうえで、7日に告示、8日から制度の運用を開始する。

今回の取扱基準は、個人や団体が発見したソフトウェア・Webアプリケーションの脆弱性について、届出窓口を一本化、さらにベンダーとの調整機関を設けることで迅速、かつ柔軟に脆弱性情報を流通させ、早期の脆弱性解消を目指すための枠組みを定めたもの。

届出窓口としてはIPA(情報処理推進機構)、調整機関としてはJPCERT/CCが指定されており、脆弱性情報の受付から公表、データベース化をIPAが担当、IPAから通知を受けてベンダーと対応を協議、最終的な結論をIPAに提示する、海外のインシデント対応機関などへ連絡する、といった作業をJPCERT/CCが行う。脆弱性情報のデータベースについては、両者が運営するポータルサイトにおいて、ベンダーの対応状況を中心に情報を公開する。

また、業界団体の電子情報技術産業協会(JEITA)でもワーキンググループ(WG)が設けられ、この制度の枠組みにおけるベンダー側の対応についてガイドラインを策定、制度開始に備えるほか、日本パーソナルコンピュータソフトウェア協会、情報サービス産業協会(JISA)、日本ネットワ-クセキュリティ協会(JNSA)といった団体もガイドライン策定に向けて協議を行っている。

今まで、各個人・団体がバラバラに判断して、ベンダーやIPAなどの公的機関に情報を通知、それぞれの基準で情報を公開していたものを、受付機関を明確に一元化し、その後のベンダーとの対応を引き受けることで、情報提供への敷居を低くし、安定した脆弱性情報の流通を実現することが狙いだ。脆弱性の公表までをルール化することで、脆弱性修正前の危険を伴うような情報公開を防ぐ狙いもある。

今回のパブリック・コメントについて経産省は、基本的に否定的な見解は寄せられず、多くは役割や基準の修正要望に関するものだった、として、原案を大筋で踏襲、一部について「関係者の対応・処理プロセスが不明確であること、脆弱性関連情報の流通実態をすべて包含できていないことが認められた」として修正を加えた。

修正としては、JPCERT/CCからの通知に対して、ベンダーが対応しなかった、協議に応じなかった、といった場合でも、脆弱性情報を公開することも可能にした点などが挙げられる。また、JPCERT/CC側では、今まで特に定められていなかった、JPCERT/CCによる調整開始から「45日以内に公表する」ことを目安として決めた。これは米CERT/CCが定めている日数と同じだが、これ自体はあくまで目安として、脆弱性の内容などに応じてその都度調整する方向だ。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

TVアニメ『少年メイド』、9/4イベントに向けた出演キャストのコメント紹介
[00:26 7/27] ホビー
「BanG Dream!」、2ndライブのタイトル決定! 2nd Sgの特典MVより追加カット
[00:06 7/27] ホビー
舞台「ダイヤのA」1&2の上映会、小澤廉ら出演のトークショー付き
[00:00 7/27] ホビー
[ガヴリールドロップアウト]「電撃だいおうじ」の人気マンガがテレビアニメ化 監督とシリーズ構成は「うまるちゃん」コンビ
[00:00 7/27] ホビー
デルが注力するのは2in1 - アルミボディで液晶360度回転の13.3型「New Inspiron 13 7000 2-in-1」
[00:00 7/27] パソコン

求人情報