協調的脆弱性開示(Coordinated Vulnerability Disclosure/CVD)

掲載:2024年07月03日

用語集

「協調的脆弱性開示(Coordinated Vulnerability Disclosure/CVD)」とは、セキュリティ研究者などがソフトウェアやサービスの脆弱性を発見した際に、その内容を公開する前に企業や製品開発者に通知するプロセスのことです。それにより、製品開発者は脆弱性が悪用される前に、改修や修正プログラムができユーザーを保護することができます。

CVDは企業単位でプログラムを整備している場合がありますが、ここでは国の制度について説明します。

         

日本の協調的脆弱性開示の取り組み

日本における協調的脆弱性開示(CVD)は、情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)を中心に運用されています。その中核となっているのが、2004年に公表された、脆弱性情報に関する官民連携の枠組みである「情報セキュリティ早期警戒パートナーシップガイドライン」です。

同ガイドラインでは、コンピュータ不正アクセスやコンピュータウイルスなどによる被害発生の抑制を目的に、セキュリティ研究者などの脆弱性の発見者や製品開発者、ウェブサイト運営者に推奨する行動を取りまとめています。IPAとJPCERT/CCは、受付機関および調整機関として関係者間の情報共有を支援し、脆弱性対応のスムーズな推進を促す役割を担っています。

以前はセキュリティ研究者などの脆弱性発見者が製品開発者に連絡することなく一般公開してしまい波紋を呼ぶなど、両者は対立構造になってしまうことがありました。日本では、この取り組みの導入により、世界に先駆けてユーザーの安全な環境を保護する活動を推進していると言えます。

協調的脆弱性開示のプロセス

「情報セキュリティ早期警戒パートナーシップガイドライン」で定められている脆弱性情報の連携プロセスは以下のとおりです。

出典:独立行政法人 情報処理推進機構「情報セキュリティ早期警戒パートナーシップガイドライン」

脆弱性の発見者がIPAに届出を行うと、IPAからJPCERT/CCへ情報が通知されます。JPCERT/CCは製品開発者と脆弱性対応の期間などを調整し、公表スケジュールを決めます。

製品開発者は、利用者の安全が確認できた場合には、JPCERT/CCと調整のうえ、公表日前に脆弱性情報や対策状況を利用者に通知することも可能です。IPAとJPCERT/CCは、公表スケジュールに沿って脆弱性情報や対策状況を公表します。また、IPAは四半期ごとに脆弱性関連情報を集計した統計情報を公表します。

協調的脆弱性開示の利点と課題

協調的脆弱性開示には、以下のような利点があります。

  • 製品開発者が未然に防げなかった脆弱性を、発見者が公表前に製品開発者に通知することで、製品開発者は悪用される前に対策できる
  • IPAやJPCERT/CCのような受付機関・調整機関が間に入ることで、発見者と製品開発者の衝突を避けてスムーズに対策を進められる
  • 脆弱性発見者と製品開発者の信頼関係を築くことで、長期的な効果の継続が期待できる

一方で、次のような課題も無視できません。

  • 製品開発者の連絡先が見つからなかったり、連絡が返ってこなかったりするケースがある
  • 調整機関と製品開発者が連絡している過程で情報が漏えいするリスクがある
  • 原則、発見者への報酬はないため、積極的に届出するインセンティブが働きにくい

協調的脆弱性開示は、脆弱性の発見者と製品開発者が協力して脆弱性の早期発見と修正を促進し、ユーザーを保護する重要な取り組みです。官民が連携して取り組んでおり、今後も課題の改善を図り、さらなる普及とセキュリティ強化への貢献が期待されます。