IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催〜概要の開設や、過去の具体的事例からの適用例などを紹介(Internet Watch)
私もこの説明会には参加してまいりました。
IPA とか JPCERT/CC の説明会って、大体、経済産業省が絡んでるんで 国 の情報関連の
取扱についての方針が発表されることが多いような気がする(笑
今回、経済産業省告示の「ソフトウエア等脆弱性関連情報取扱基準」とそれに基づいた
「情報セキュリティ早期警戒パートナーシップ」の運用開始に伴う説明会なんですが
経済産業省として、適用範囲は「不特定多数の一般ユーザ向け」を対象にしている。
「汎用ソフトウエアの例」
・クライアント上のソフトウエア(OS、ブラウザ、メーラー等)
・サーバ上のソフトウエア(DBMS、ウェブサーバ等)
・プリンタ、コピー機
・ICカード
・PDA
「専用システムの例」
・インターネット上のウェブサイトで稼動しているウェブアプリケーション
(電子申請、ネットバンキング等)
また、「脆弱性」とは何か、を以下のように定義している。
「脆弱性」とは、「ソフトウエア等において、コンピュータウイルス、コンピュータ不正アクセス等の攻撃により
機能や性能を損なう原因となり得る安全性上の問題個所」
ソフトウエア製品あるいはウェブアプリケーションに脆弱性を見つけた場合、 IPA に
脆弱性関連情報を届けて欲しいとのこと。まぁ、説明会の詳細は InternetWatch の記事を参考に。
記事に載っていない質疑応答について、ちょこっと載せておきます。
私の聞き違いがあったりするかもしれませんが、そのあたりは御指摘ください。
Q:開発部門が海外にあって、開発部門から CERT 等に通知済みの場合、日本に販売部門を持つメーカーは IPA に報告しなければならないのか
A:JPCERT と CERT はお互いにパートナーシップを締結しているため、情報が相互に連絡される
仕組みを持っていますので、IPA に別途、報告の必要はありません。
但し、IPA と JPCERT で運用している JVN サイトに日本語情報を提供したい場合には、IPA へ
通知を行ってください。
Q:ユーザーから直接、脆弱性情報が送られてきた場合はどうすればいいですか
A:ベンダーから IPA に通知を行ってください。「公開日一致の原則」がありますので
公開日のスケジュール調整は JPCERT が行います。
Q:公開日の設定は、何処の国の時刻を基準に決めたりとかするんですか
A:脆弱性の影響範囲の比重が一番重い国が公開標準時になって、各国がその公開標準時に従って公開されます。
日本にしかない脆弱性については、もちろん日本が公開標準時になります。
Q:公開日が設定された日より前に、情報が公開された場合はどうなりますか
A:直ちにアラート情報として公表し、ユーザーに認知させます。
限られた範囲での影響による脆弱性だった場合、直ちに公開しない場合もあります。
これらの調整は JPCERT が行います。
「関連サイト」
JP Vendor Status Notes
http://jvn.jp/
脆弱性関連情報取扱いについて(IPA)
http://www.ipa.go.jp/security/vuln/index.html
P.S. 経済産業省告示第235号って Web 掲載ってされてないのかな。見つからない・・・