■ソフトウエア等脆弱性関連情報取扱基準
2004年7月7日に経済産業省が公示したソフトウェアなどの脆弱性情報を必要な機関間で流通させるための取り扱い基準。
・経済産業省(ソフトウエア等脆弱性関連情報取扱基準を次のように定めたので、告示する。):[PDF]
http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf
以前は、脆弱性の公開についてのルールがなかったため、脆弱性の発見者が直接企業に報告したり、独自に公開したりするなどしていた。そのため、場合によっては脆弱性の対策が秘密裏に行われたり、攻撃をあおる結果になってしまったりと問題が起きることもあった。そこで、ルールの制定が望まれたことから、経済産業省がIPAに委託し、官民の関係有識者による「情報システム等の脆弱性情報の取扱いに関する研究会」を開催し、その結果「ソフトウエア等脆弱性関連情報取扱基準」がまとめられた。
この基準により、届けられる脆弱性関連情報の受け付け機関として情報処理推進機構(IPA)、脆弱性関連情報の製品開発者への連絡と公表に関わる調整機関としてJPCERTコーディネーションセンター(JPCERT/CC)が指定されている。ソフトウェアやWebサイトの脆弱性を発見した人は、IPAに対して「脆弱性関連情報の取扱い」ページの記載に従って届出を行うことになる。
・情報処理推進機構(脆弱性関連情報の取扱い):
http://www.ipa.go.jp/security/vuln/index.html
届けられた脆弱性関連情報は、IPAが発見者の窓口となり、関係機関と連絡を取りながら、JPCERT/CCが製品開発者/Webサイト管理者との間で調整、対応状況の発表などを行うとしている。発見者は、IPAに対して「脆弱性関連情報に関する届出について」に従って脆弱性を届けることになる。
・情報処理推進機構(脆弱性関連情報の取扱いプロセス):
http://www.ipa.go.jp/security/vuln/report/process.html
・情報処理推進機構(脆弱性関連情報に関する届出について):
http://www.ipa.go.jp/security/vuln/report/index.html
|