2004年07月08日(木) 15時31分

IPA、ソフトウェアやWebアプリの脆弱性情報の受け付け開始（impress Watch）

写真:インプレス 　 　独立行政法人情報処理推進機構セキュリティセンター（IPA）は8日、7月7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」を公示したのに伴い、ソフトウェア製品とWebアプリケーションの脆弱性に関する情報の届出の受け付けを開始したと発表した。IPAが公開したメールアドレスなどで受け付ける。

　脆弱性関連情報の取り扱いに関しては、ソフトウェアやWebアプリケーションの脆弱性が不正アクセスやウイルスなどに悪用されるケースが増えてきたことを受けて、2003年11月より検討が開始されており、パブリックコメントなどを経て公示されたものだ。公示では、脆弱性関連情報の届出の受付機関としてIPA、脆弱性関連情報に関して製品開発者への連絡や公表に係わる調整機関として有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）が指定された。

　届出の対象は、ソフトウェア製品とWebアプリケーションに関する脆弱性関連情報。ソフトウェア製品では、OSやWebブラウザなどのクライアント上のアプリケーションや、Webサーバーなどのサーバーソフトウェア、プリンタやICカードなどの組み込み系ソフトウェアなどに関する情報を受け付ける。また、脆弱性情報に限らず、検証方法や攻撃方法、回避方法などについても届出を受け付けるという。

　Webアプリケーションでは、インターネット上のWebサイトにおいて、公衆に向けて提供しているサイト固有のサービスやシステムに関する情報を受け付ける。受け付け方法は、「vuln-info@ipa.go.jp」へのメールによる受け付けと、Web届出フォームの2種類だが、現在Web届出フォームは準備中であるため、メールでのみの受け付けとなっている。また、記入様式や記入例もWebサイト上で公開している。

　ただし、この脆弱性関連情報取扱いの仕組みは関係者の善意によって成り立っているものであるため、「届出者に対する、脆弱性関連情報の秘匿の強制」「製品開発者に対する、脆弱性への対策の強制」「Webサイト運営者に対する、脆弱性の修正の強制」の3点についてはIPAが実施できない。このため、必ずしも期待する対応が取られることを保証できないとしている。

関連情報

■URL

　 IPA、脆弱性関連情報取扱い

　 http://www.ipa.go.jp/security/vuln/index.html

■関連記事

・ 脆弱性発見から対処法公開までのルールを明確化〜IPA、研究会報告で提言（2004/04/06）

（ 大津 心 ）

2004/07/08 13:11（impress Watch）

http://headlines.yahoo.co.jp/hl?a=20040708-00000004-imp-sci