コラム

早期警戒パートナーシップ

2011年2月24日

  平成16年の経済産業省告示第235号「ソフトウェア等脆弱性関連情報取扱基準」を踏まえて情報セキュリティ早期警戒パートナーシップ(以下「早期警戒パートナーシップ」)が発足しました。早期警戒パートナーシップはソフトウェアやウェブアプリケーションに対するコンピュータウイルスや不正アクセスなどによる被害発生を抑制するために脆弱性関連情報の適切な流通を図ることを目的としており、IPA(正式名称は下記≪参照≫に記載、以下同様)、JPCERT/CC、JEITA、CSAJ、JISA及びJNSAが情報セキュリティ早期警戒パートナーシップガイドラインを取りまとめ、脆弱性情報の受付や調整などの運用をしています。

  ガイドラインの適用範囲は脆弱性により不特定多数の人々に被害を及ぼすものを想定しており、OSなどのソフトウェア及びICカード、コピー機などのハードウェアを含むソフトウェア製品の場合とURLがjpドメイン(日本国ドメイン)のウェブアプリケーションの場合とに分類しています。

  図1にソフトウェア製品に関わる脆弱性情報の取り扱いのフロー図を示します。発見者が望まない場合にIPA は発見者の情報を通知しません。なおウェブアプリケーションに関わる脆弱性情報の取り扱いのフロー図は省略します。

ソフトウェア製品に関わる脆弱性情報の取り扱い

図1 ソフトウェア製品に関わる脆弱性情報の取り扱い
(引用:情報セキュリティ早期警戒パートナーシップガイドライン-2009年版-)

  JPCERT/CCは「ソフトウェア等脆弱性関連情報取扱基準」で定められる脆弱性情報流通の調整機関としての役割を担っています。脆弱性情報を公表するタイミングを誤ると脆弱性を突いて攻撃を受けることになります。そこでJPCERT/CCが調整機関として脆弱性対策を整えたうえで“公表日一致の原則”に基づいて情報開示を行う仕組みになっています(JPCERT/CC脆弱性情報取り扱いガイドライン)。

  脆弱性情報の発見や管理に関しては法的な問題が関係してきます。不正アクセス禁止法、電波法、刑法(名誉毀損罪、信用毀損罪、電子計算機損壊等業務妨害罪)、民法(債務不履行責任、不法行為責任、瑕疵担保責任)、製造物責任法などの多数の法律が関係してくるようです。そこで情報セキュリティ早期警戒パートナーシップガイドラインでは、

  • 脆弱性関連情報の発見者および管理関係者への法的な注意事項、
  • 製品開発者およびウェブサイト運営者の法的責任についての法律専門家の見解

が記載されています。

  また、ウェブサイト運営者とウェブサイト構築事業者に求められるウェブサイトの脆弱性の対応についてはJISAとJEITAによって「SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス第1.0 版」が取りまとめられています。

  IPAとJPCERT/CCは情報セキュリティ早期警戒パートナーシップの枠組みで届けいでられた情報を基にして脆弱性情報の統計情報を定期的に公表していますが、このうちウェブサイトの修正に要した日数を図2に示します。過去3年間で受理されたウェブサイトの脆弱性情報の届出は5188件あり、このうち3342件が修正完了しています。図2には3342案件の修正に要した日数を示していますが数日中に修正完了する件数も相当あり、66%が90日以内に修正完了しています。なお修正完了していない情報には修正中のもののほかに修正完了した報告がないものが含まれます。

ウェブサイトの修正に要した日数

図2 ウェブサイトの修正に要した日数
(引用:ソフトウェア等の脆弱性関連情報に関する届出状況[2010年第4四半期(10月~12月)](IPA))

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved