経済産業省はコンピュータセキュリティに関する警戒態勢を強化する。ソフトウェアやウェブアプリケーションの脆弱性を発見した利用者から情報を集め、悪用される前に対策を講じる。情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が中心となり、情報収集や対策方針の策定、ベンダーとの調整などを行う。これはIPAが設置した「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受けたもので、7月までに体制を整える方針だ。
具体的にはIPAが窓口となり、脆弱性を発見した人から情報を集める。JPCERT/CCはIPAや海外のインシデント対応チーム(CSIRT)と連携しながら、ベンダーに対して脆弱性の通知を行うほか、具体的な対策方法の公表時期に関して調整を図る。
IPA セキュリティセンター センター長の早貸淳子氏 |
脆弱性関連情報の届出先を一本化することで、情報がベンダーに通知されないまま放置されたり、暴露されたりすることを防ぐのが狙い。「今までは、脆弱性を確認するために不正アクセス禁止法に触れかねない行為をするリスクや、ベンダーとの関係悪化を恐れて、発見した脆弱性を公表しない可能性があった。今回IPAが窓口となることで、発見者の負担を軽減することができる」とIPA セキュリティセンター センター長の早貸淳子氏は話す。IPAでは発見者本人が希望しない限り、発見者の氏名や連絡先をベンダーに通知することはないという。
経産省では1990年からコンピュータウイルスや不正アクセスに関する届出制度を立ち上げてきた。また、2003年10月にはJPCERT/CCがインターネットの定点観測を開始し、トラフィックの状況をリアルタイムに把握して被害を最小限に抑える仕組みを作ってきた。発見された脆弱性に関する情報の取り扱いについては今まで国内のガイドラインは存在しなかったが、MSBlastなどソフトウェアの脆弱性を突いた攻撃による被害が拡大していることから、被害原因を事前に把握して被害の発生を抑えることが必要と判断。2003年11月からIPAに検討を委託していた。
ソフトウェアの脆弱性に関しては、1つの脆弱性が複数の製品に影響する可能性があるため、対策を講じる機関や公表するタイミングについてJPCERT/CCが調整を行う。一部報道では45日以内に修正を行う必要があるとされていたが、この点については「今後ベンダーと協議して具体的な日数を決める」(早貸氏)とした。また、対策方法についてはIPAのウェブサイト上で一般に公表する方針で、「対策情報をすべてIPAのサイト上で網羅できる体制を整えたい」(早貸氏)としている。
ウェブアプリケーションの脆弱性については他のサイトへの影響はほとんどないと考えられることから、IPAが各サイト運営者に脆弱性情報を通知する。一般ユーザーに対しては統計情報のみを公表する方針で、脆弱性があったサイトの名前などは告知しない。
経済産業省では脆弱性情報の取り扱いに関する今回の枠組みを規定する公的ルールを6月中に制定する予定。IPAとJPCERT/CCは7月までに体制を整え、脆弱性情報の取り扱いを始める方針だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」