利用者が被りうる被害とのバランスを考え、JVNの脆弱性公表ガイドラインを改正
「開発者に1年間連絡不能なら脆弱性を公表へ」JPCERT/IPA
2015年09月04日 06時00分更新
JPCERT/CCと情報処理推進機構(IPA)は9月3日、共同運用する脆弱性情報ポータルサイト「Japan Vulnerability Notes(JVN)」における脆弱性情報公表のガイドライン改正を発表した。脆弱性が存在する製品(ソフトウェア等)の開発者に1年以上連絡が取れない場合は「連絡不能案件」と判断し、審議を経て脆弱性の公表を行う。
JVNで「連絡不能」脆弱性情報の公表が開始された
JVNは、JPCERT/CCやIPAに報告のあった脆弱性およびその対策の情報を公表するサイト。これまでは、原則として製品開発者に連絡を取って製品の修正を促し、開発者の合意を得たうえで脆弱性情報の公表を行ってきた。
しかしながら、開発者に連絡が取れない場合、脆弱性が修正されないままの製品が放置されるうえ、製品利用者にも脆弱性の存在が公表されないという問題点があった。
そこでJPCERT/CCとIPAでは、製品利用者が「当該製品を使用しない」ことで安全確保することを可能にするため、「対策情報が提供されていない製品の脆弱性情報」を公表する運用を開始した。これは、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」および今年5月改正「情報セキュリティ早期警戒パートナーシップガイドライン」に基づく。
IPAによると、2004年7月から始まった「脆弱性関連情報届出制度」ではこれまで2123件の届け出があり、うち169件が開発者と連絡がとれず未解決
なお、連絡不能案件の公表にあたっては、「公表判定委員会」により公表可否の審議が行われ、公表によって社会的混乱を招くことがないかなどのチェックも行われる仕組みとなっている。
