情報処理推進機構(IPA)は9月9日、東京国際フォーラムにおいてIPAX Autumn 2004を開催した。「ソフトウェア等の脆弱性にどう対処するか」と題したパネルディスカッションでは、IPAがJPCERT コーディネーションセンターと共同で行っているソフトウェア脆弱性情報の収集と対策の現状が紹介され、参加者はベンダーの取り組みやユーザー企業の要望などについて議論を行った。
IPAとJPCERT/CCは、ソフトウェアやウェブアプリケーションの脆弱性を発見した利用者から情報を集め、ベンダーと協議して悪用される前に対策を講じる取り組みを進めている。IPAは情報収集を、JPCERT/CCはベンダーとの調整などを担当している。
2カ月間で86件の脆弱性情報が報告
上段左からJPCERT/CCの伊藤友里恵氏、産業技術総合研究所の高木浩光氏、下段左からJEITAの宮地利雄氏、JUASの高橋秀敏氏
|
IPAセキュリティセンターの早貸淳子氏によると、7月8日から9月8日までの2カ月間で、ソフトウェア製品の脆弱性に関する情報が15件、ウェブアプリケーションに関しては71件の届出があったという。
ソフトウェア製品の内訳はクライアント系が7件、サーバ系が5件、組み込みソフトが1件、その他が2件となっている。JPCERT/CCの伊藤友里恵氏によれば、ソフトウェア製品の脆弱性のうち3件が国際的な案件として海外ベンダーに報告されたという。15件のうち1件は製品開発者により脆弱性ではないと判断され、1件はすでにベンダーによって修正された。
第1号の修正となったのは、トレンドマイクロのウイルスバスター コーポレートエディションにおける脆弱性だ。管理コンソールから特定のURLを指定するとOPP.iniファイル(Outbreak Prevent Policyの設定ファイル)を閲覧できるというもので、7月8日に届出があった。IPAで検証後、8月4日に製品開発者への通知が行われ、8月17日には同社から脆弱性が公開された。「予想以上に迅速な協力をしていただいた」(早貸氏)。ただし情報共有がうまくいかず、IPAとJPCERT/CCが共同で運営するサイトJP Vendor Status Notes(JVC)に掲載されたのは9月3日となった。
ソフトウェア製品の脆弱性については、47%がhiddenフィールドの改ざん、37%がクロスサイトスクリプティングに関するものだった。すでに5件の修正報告を受けており、ウェブサイト運営者によって問題なしと判断されたものが1件、運用で回避できるとされたものが4件あったとのことだ。
早貸氏は今後の課題として、脆弱性関連情報や対策情報の公表に関するポリシーの明確化、ユーザーに情報を届ける枠組や製品開発者側の体制の整備などを挙げる。脆弱性の報告を受けたベンダー側が、社内体制の整備や窓口の設置などに2〜3週間かかったことを挙げ、「企業の認知が進んで各社の体制が整えば、対策までの期間が大幅に縮まる」(早貸氏)と期待を寄せた。
また、産業技術総合研究所セキュリティセンターの高木浩光氏は、ベンダーや脆弱性発見者の公表方法についてガイドラインが必要と指摘する。特にベンダーが脆弱性の存在をきちんとユーザーに知らせずに修正を行う「ヤミ改修」を防止する必要があるとした。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス