このページの本文へ

利用者が被りうる被害とのバランスを考え、JVNの脆弱性公表ガイドラインを改正

「開発者に1年間連絡不能なら脆弱性を公表へ」JPCERT/IPA

2015年09月04日 06時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 JPCERT/CCと情報処理推進機構(IPA)は9月3日、共同運用する脆弱性情報ポータルサイト「Japan Vulnerability Notes(JVN)」における脆弱性情報公表のガイドライン改正を発表した。脆弱性が存在する製品(ソフトウェア等)の開発者に1年以上連絡が取れない場合は「連絡不能案件」と判断し、審議を経て脆弱性の公表を行う。

JVNで「連絡不能」脆弱性情報の公表が開始された

 JVNは、JPCERT/CCやIPAに報告のあった脆弱性およびその対策の情報を公表するサイト。これまでは、原則として製品開発者に連絡を取って製品の修正を促し、開発者の合意を得たうえで脆弱性情報の公表を行ってきた。

 しかしながら、開発者に連絡が取れない場合、脆弱性が修正されないままの製品が放置されるうえ、製品利用者にも脆弱性の存在が公表されないという問題点があった。

 そこでJPCERT/CCとIPAでは、製品利用者が「当該製品を使用しない」ことで安全確保することを可能にするため、「対策情報が提供されていない製品の脆弱性情報」を公表する運用を開始した。これは、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」および今年5月改正「情報セキュリティ早期警戒パートナーシップガイドライン」に基づく。

IPAによると、2004年7月から始まった「脆弱性関連情報届出制度」ではこれまで2123件の届け出があり、うち169件が開発者と連絡がとれず未解決

 なお、連絡不能案件の公表にあたっては、「公表判定委員会」により公表可否の審議が行われ、公表によって社会的混乱を招くことがないかなどのチェックも行われる仕組みとなっている。

■関連サイト

カテゴリートップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります

アクセスランキング

  1. 1位

    ITトピック

    実用化が楽しみすぎるスマート技術たち 「長距離ワイヤレス給電」から「室内向け太陽電池」「超音波センサー」まで

  2. 2位

    ITトピック

    IT技術者の約半数が「AIの進化で転職を意識」/これから起きるのは「SaaSの死ではなく変容」/バックアップ市場は堅調に成長、ほか

  3. 3位

    sponsored

    AIインフラ市場“一強体制”を崩せるか AMDが「Helios」で体現するオープン戦略とフィジカルAIのラストマイル

  4. 4位

    デジタル

    kintone MCP Server とは?現在提供されている3つの選択肢をフラットに比較

  5. 5位

    データセンター

    IOWNによるGPU分散インフラ「GPU over APN」実証環境を開放 NTTドコビジが全国8拠点をつなぎ提供

  6. 6位

    デジタル

    買い切り型クラウド「pCloud」がDX総合EXPOへ CEO来日で日本展開を加速

  7. 7位

    sponsored

    「IT機器が高すぎる」「熟練メンバー不在で分からない」… 情シスさんの“現場の悩み”をエンジニア3人に聞いてみた

  8. 8位

    Team Leaders

    「SaaSの死」現場の8割が実感も、半数が“年間10%以上成長”と危機感先行

  9. 9位

    Team Leaders

    AIエージェントが顧客対応から“恋愛相談”まで マッチングアプリwithのCSを変えたチャネルトーク

  10. 10位

    クラウド

    顧客企業のビジネスを動かす「基幹系AI」を実現する 日本オラクルの2027年度戦略

集計期間:
2026年07月11日~2026年07月17日
  • 角川アスキー総合研究所