Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

9カ月連絡不能ならば脆弱性情報を公表 - IPAらガイドラインを改定

情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は、脆弱性情報について報告を受けたものの、開発者と連絡が取れずに公表できないケースがあることから、製品利用者の安全に配慮して脆弱性情報を公開できるようガイドラインを改訂した。

両機関では、報告を受けた脆弱性について「情報セキュリティ早期警戒パートナーシップガイドライン」に従い、対応しているが、同ガイドラインについて一部見直したもの。

脆弱性情報は、IPAが届出を受け付け、脆弱性情報の公開にあたり、JPCERT/CCが開発者との調整を実施している。しかし、旧ガイドラインのもとでは、対策方法が決まるまで悪用を避けるために非公開としているため、連絡が取れない場合は、「連絡不能開発者一覧」として、開発者名と製品情報をウェブサイト上で公表するにとどめ、脆弱性は公表していなかった。

20140602_ip_001.jpg
脆弱性情報公表のフロー(図:IPA)

一方で、2014年3月末時点で開発者と連絡が取れないケースは131件にのぼり、脆弱性の存在を知らずに製品を使い続けると、利用者が被害を受けるおそれもあることから、ガイドラインを改訂した。

9カ月以上連絡が取れない場合を「連絡不能案件」とし、製品開発者、製品利用者が被る不利益のバランスを踏まえた上で脆弱性や検証情報を含め、公開できることとした。今後、情報公開を進めることで、製品の利用者がリスクを認知し、製品の利用を中止したり、緩和策を実施するなど、被害を回避できるようにする。

また今回の改訂では、一般公表に先立ち、利用者に脆弱性情報を提供する取り組みについて追加した。制御システムなどのソフトウェアでは、システム上どのように利用されているか把握できないケースもあり、事前に影響を調査したり、対策を実施する時間を確保できるよう、一般公開前に製品利用者へ脆弱性情報を提供するという。

(Security NEXT - 2014/06/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
サイバー攻撃の脅威高まるプラント分野に「セキュリティマニュアル」 - 「データ契約ガイドライン」も
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの「標的型攻撃メール」は101件 - 標的の8割がプラント関係者
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
「セキュリティ・キャンプ全国大会2018」参加者募集がスタート
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
改正「テレワークセキュリティガイドライン」、クラウドやランサムウェアの注意点も
研究者が注目した「10大脅威」、具体的な手口や対策は? - IPAが解説資料
「WannaCrypt」騒ぎから約1年、GWに向けてセキュリティ対策の確認を