「情報セキュリティ早期警戒パートナーシップガイドライン」を再周知、脆弱性情報の無断公開を控えて 経産省/NCOなど
経済産業省と情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)、国家サイバー統括室(NCO)は9月9日、「情報セキュリティ早期警戒パートナーシップガイドライン」を再周知し、同ガイドラインに則って対応するよう呼びかけました。情報セキュリティ早期警戒パートナーシップは官民の連携体制であり、2004年に始まった脆弱性関連情報の届出制度を柱としています。
「情報セキュリティ早期警戒パートナーシップガイドライン」は2004年、IPAとJPCERT/CC、電子情報技術産業協会(JEITA)、情報サービス産業協会(JISA)、日本パーソナルコンピュータソフトウェア協会(JPSA)および日本ネットワークセキュリティ協会(JNSA)によって策定されました。経済産業省の告示「ソフトウエア等脆弱性関連情報取扱基準」を踏まえたもので、情報セキュリティ早期警戒パートナーシップはこのガイドラインに則って運用されています。
ソフトウエアなどに脆弱性が発見された場合、それを悪用した不正アクセスやコンピューターウイルスの拡散を防ぐため、脆弱性に関する情報は厳重に管理されなければなりません。「ソフトウエア等脆弱性関連情報取扱基準」はそのために制定され、2014年には改正が行われました。さらに2017年には、発見された脆弱性関連情報の取り扱い方法を定めた「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(告示第19号)が新たに制定されました(2024年6月に改正)。
ガイドラインも都度、改訂されています。現行ガイドラインは「情報システム等の脆弱性情報の取扱いに関する研究会」(IPA主催)での検討結果と「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」の改正を踏まえて2024年6月に改訂されました。
ガイドラインは大きくソフトウエア製品とウェブアプリケーションに分けて脆弱性が発見された際の手順を示しています。まず、受付機関はIPA、調整機関はJPCERT/CCが担います。脆弱性関連情報の発見者、ソフトウエアの製品開発者、ウェブサイト運営者と協力をしながら、公表に至る処理の流れや、取り組む行動といったプロセスを記載しています。なお、プロセスはISO/IEC 29147「情報技術-セキュリティ技術-脆弱性の開示」に沿っています。
脆弱性関連情報の調査・報告について経済産業省は、情報の管理と開示が責任ある態度で行われる場合に限り、社会全体に対して役立ち、利益をもたらすものだと説明しています。そのため、脆弱性を発見した人に対してIPAへの届出を徹底するよう呼びかけるとともに、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談するよう推奨しています。
また、製品開発者やウェブサイト運営者には、責任を持った情報開示と関係者との連携を、報道機関や産業界に対しては、むやみに第三者に公開しないよう、報道やSNSでの発信に際して注意を呼びかけました。
