情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は7月27日、「ソフトウェア等の脆弱性関連情報に関する届出状況[2021年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構」において、「2021年第2四半期におけるソフトウェア等の脆弱性に関する取扱状況」を公開した。これによると、この3カ月間に届出があったソフトウェア製品の脆弱性の件数は79件、Webアプリケーションの脆弱性の件数は228件で、合計307件だったという。
このレポートは、情報セキュリティ早期警戒パートナーシップ制度に基づいてIPAに届出があった、ソフトウェア製品やWebサイトの脆弱性関連情報の件数について集計した結果になる。同四半期の特徴としては、ソフトウェア製品よりもWebサイトに関して多くの届出があったことが挙げられている。過去3年間の推移で見ても、この傾向は2019年頃からこの顕著に現れていることが分かる。届出受付開始日からの累計の届出件数は、ソフトウェア製品に関するものが4850件、Webサイトに関するものが11933件であり、Webサイトに関する届出が全体の約7割を占めている。
| 分類 | 本四半期の届出件数 | 累計の届出件数 |
|---|---|---|
| ソフトウェア製品 | 79件 | 4,850件 |
| Webサイト | 228件 | 11,933件 |
| 合計 | 307件 | 16,783件 |
-
脆弱性の届出件数の四半期ごとの推移 資料:IPA
ソフトウェア製品の脆弱性については、修正が完了するとその脆弱性の情報や対策方法などがJVNに公表される。同四半期中にJVNで公表したソフトウェア製品の件数は49件で、届出を受理してから45日以内にJVN公表に至った件数は全体の37%となる18件だったという。
Webサイトについては、同四半期中に48件が修正を完了しており、Webアプリケーションを修正して対処したものは45件(94%)、当該ページを削除して対処したものは2件(4%)、運用で回避したものは1件(2%)となっている。48件のうち、Webサイト運営者へ脆弱性情報を通知してから90日以内に修正が完了したものは94%となる45件だったとのことだ。
| 分類 | 本四半期の修正完了件数 | 累計の修正完了件数 |
|---|---|---|
| ソフトウェア製品 | 49件 | 2,282件 |
| Webサイト | 48件 | 8,117件 |
| 合計 | 97件 | 10,399件 |
情報セキュリティ早期警戒パートナーシップは、ソフトウェア製品およびWebアプリケーションに関する脆弱性関連情報の円滑な公表や対策の普及を促進するために、IPAおよびJPCERTコーディネーションセンター(JPCERT/CC)によって整備された公的機関と民間企業との連携体制。脆弱性の発見者がその情報を届け出る際や、製品開発者およびWebサイト運営者が脆弱性に関する通知を受けた際などに実施するべき対応のガイドラインが定められている。
