今回の研究会(座長・土居範久中央大学教授)は、セキュリティ関連の公的機関、ハード/ソフトベンダーなど約30機関/50名が参加し、昨年11月から検討を進めた。経産省が昨年10月に公表した「情報セキュリティ総合戦略」に基づき、ぜい弱性に対処するためのルールと体制の整備を行ううえでの具体的な枠組みを定めるのが目的となっている。
IPAが国内のぜい弱性情報の届け出から公表までの枠組みを提案
経産省告示としてルール化へ、機密情報は関連機関内に留める
2004.04.07−情報処理推進機構(IPA)は6日、経済産業省からの要請により「情報システム等のぜい弱性情報の取り扱いに関する研究会」を設置、論議の結果を取りまとめた報告書を公表した。昨年の「MSブラスター」のように、公開されたぜい弱性情報を悪用して攻撃プログラムが作成されるケースが目立っており、重要なセキュリティ情報を適切に収集し対策するための指針やガイドラインが求められていた。今回の報告書の提案をもとに、経産省では6月下旬または7月初めまでに告示の形で公的ルールを制定し、早ければ7月から実際の仕組みを機能させる。
今回の研究会(座長・土居範久中央大学教授)は、セキュリティ関連の公的機関、ハード/ソフトベンダーなど約30機関/50名が参加し、昨年11月から検討を進めた。経産省が昨年10月に公表した「情報セキュリティ総合戦略」に基づき、ぜい弱性に対処するためのルールと体制の整備を行ううえでの具体的な枠組みを定めるのが目的となっている。
6日に公表した報告書(http://www.meti.go.jp/policy/netsecurity/downloadfiles/Vulnera_Report.pdf)では、ソフトウエアやウェブサイトのぜい弱性を発見した場合に、それを届け出る正式な窓口をIPAが担当することに加え、その情報を評価・分析し、ふさわしい手順で流通させ、対策を策定・公表するまでの枠組み全体に関する提言を行っている。
とくに、特定のソフトに関するぜい弱性情報は、不用意に公開するとウイルス開発などに悪用される恐れがあることから、JPCERTコーディネーションセンターが調整役となって、情報の流通を関係する機関内だけにとどめ、ソフトベンダーらが相互の協力のもとに対策プログラムなどの準備を進められるようにする。そして、対策方法が定まった時点で、各ベンダーおよびIPAを通してそれが公開されるようにする。IPAはこうした対策方法に関する情報を一元的に蓄積・開示する役割を果たしていく。
一方、特定のウェブサイトに、個人情報の漏えいの恐れがあるなどのぜい弱性が存在することが報告された場合、IPAは当該サイトに対してそれを通知し、対処を促すという方法をとる。実際に情報漏えいなどの問題が発生すればその事実を公表するが、ぜい弱性を通知する時点ではサイト名を公開するなどの措置はとらない。ただし、届け出に関する統計情報を公開し、一般ユーザーに対して注意を喚起させる。
この枠組みが7月から運用開始されても、強制力はなく罰則もないが、経産省では関連する業界団体などと協調して広く浸透、ルールとして徹底されるように指導していく方針。また、指摘されても改善しないなどの悪質なサイトに対しては、何らかの処分を行うことも可能性に入れて、さらに検討を進めていく考えだ。