コラム

2004.7.23

|

情報技術研究所　小川創生 セキュリティ脆弱性情報に関する指針策定で増す企業責任

今月 (2004年7月) 7日に、経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」を公示した。それを受けて8日には、独立行政法人・情報処理推進機構 (IPA) などが「情報セキュリティ早期警戒パートナーシップガイドライン」を発表し、IPA はセキュリティ脆弱性に関する情報の届出受付を開始した。 ソフトウエアや Web サイトの重大な脆弱性を、それらの開発者や運営者ではなく、外部のセキュリティ研究者や一般利用者が発見してしまうことが度々起こっている。その発見者は、はたしてその情報をどのように扱うべきか。これまでに様々な議論が積み重ねられ、その間にもいくつかの事件が発生し、報道されてきた。 代表的な事件を一つ挙げる。ある業界団体の Web サイトの脆弱性を突いてサイト利用者の個人情報を入手、公表した人物が、今年2月になって不正アクセス禁止法違反で逮捕、起訴されるという事件があった (東京地裁で公判中)。この事件で、被告である大学研究員 (逮捕後辞職) は、都内で開かれたセキュリティ関連イベントにおいて、脆弱性を突く具体的な方法を含む詳細な技術情報だけでなく、入手した個人情報までも多数のイベント参加者に公表した。しかも、当事者の業界団体に情報を通知したのはイベントでの公表後であった。個人情報の入手方法そのものが違法 (不正アクセス) かどうかについては、技術的、法律的な観点から議論の余地があり、裁判の争点となっている。しかし、その公表のやり方に倫理的な問題があったことは誰の目にも明らかであり、その点について被告は業界団体に謝罪している。 ネット上での被告はセキュリティ研究者として知られており、Web サイトにおける数々の脆弱性を発見し、企業や公的機関に適宜通知していたと言われている。しかし、通知が有効に機能せず、適切な対応がなされないことが多かったと被告は振り返っている。「無視されることが多かった」と被告が主張する一方で、通知を受けた側からは「脅迫ではないかと思った」という声も聞かれる。双方の言い分の是非はともかく、肝心の脆弱性対策が適切に実施されないという事態が少なからずあったのではないかと推察される。 この事例も示唆しているように、脆弱性の発見者と企業や公的機関との信頼関係、協力関係をいかに構築、維持するかが、脆弱性対策、ひいてはセキュリティ対策全体がうまくいくかどうかの大きなカギとなる。企業や公的機関にとっては、脆弱性情報が恣意的に公表されて危険が拡大してしまうのではないか、場合によっては業務妨害や脅迫に遭うのではないか、というような懸念がある。一方、発見者にとっては、脆弱性情報を公表しないと企業や公的機関が適切に対策してくれないのではないか、場合によっては業務妨害や脅迫と勘違いされるのではないか、というような懸念がある。そのような相互不信をいかにして取り除くかが重要となる。その上で、今後の脆弱性を事前に防止するための技術情報を業界全体で共有することも求められる。 その解決策として、公表する際の指針の策定や第三者機関の設置が進められている。マイクロソフトなどが参加する業界団体の Organization for Internet Safety (OIS) は昨年7月に、脆弱性発見者への7日毎の報告義務を企業に課した上で、発見者が企業に報告してから30日間は脆弱性の存在自体の公表を控え、さらに修正ソフト (パッチ) 作成後30日間は脆弱性の詳細の公表を控える猶予期間を発見者に求める、という指針を発表した。また、米カーネギーメロン大学コンピュータ緊急対応センター (CERT/CC) は、45日間という同様の猶予期間を設けた上で、脆弱性情報の届出受付、公表や企業との調整を行う第三者機関としての役目を担っている。日本でも、セキュリティ関連企業のラックのように、自主的に指針を策定し、自らが発見した他社製ソフトウエアの脆弱性情報を指針に従って報告、公表している民間企業が存在する。 このような状況を踏まえて、「ソフトウエア等脆弱性関連情報取扱基準」と「情報セキュリティ早期警戒パートナーシップガイドライン」が日本国内の指針として策定された。脆弱性情報の発見者からの届出受付を独立行政法人の IPA が担当し、企業や公的機関との調整を民間非営利団体の JPCERT/CC が担当する。両者は適宜連携して作業を進める。また、脆弱性情報の対象はソフトウエア製品と Web アプリケーションの二つに分類され、それぞれの特徴に応じた対策の手順が示されている。 この指針は概して、先に挙げた OIS や CERT/CC の例と比べて緩やかな内容となっている。ソフトウエア製品の場合、脆弱性情報の公表を控える猶予期間の日数 (45日) は変更可能な目安とされ、脆弱性の検証方法などの詳細は一切公表しないこととされている。さらに Web アプリケーションの場合、IPA は脆弱性情報や Web サイト名を公表せず、統計データしか公表しない (個人情報漏洩の可能性がある場合には Web サイト運営者に脆弱性情報の公表を求める)。脆弱性の修正完了から1ヵ月後には Web サイト名等の情報を破棄することとなっており、たとえば訴訟問題に発展した際の証拠としてデータが採用されない可能性が大きい。 しかし、だからこそ、企業や公的機関にはより一層の責任ある対応が求められることを強調したい。先に述べたように、このような指針や第三者機関がうまく機能するかどうかは、互いの信頼関係、協力関係をいかに構築、維持するかにかかっている。そのような認識の高まりから、個々の企業内における脆弱性情報の取扱いの指針を策定する動きが日本の業界団体 (電子情報技術産業協会 (JEITA) と情報サービス産業協会 (JISA)) に見られる。脆弱性情報に適切な対応をとれるような、組織内での指針や体制の整備が、企業や公的機関に今後一層求められる。 (参考資料) 独立行政法人・情報処理推進機構 (IPA) 「脆弱性関連情報の取扱い」 http://www.ipa.go.jp/security/vuln/

コラム　バックナンバー一覧 ｜　2011　｜　2010　｜　2009　｜　2008　｜　2007　｜　2006　｜　2005　｜　2004　｜　2003　｜　 ｜12月｜11月｜10月｜9月｜8月｜7月｜6月｜5月｜4月｜3月｜2月｜1月｜

[2004.07.30]  景気に慎重な見方増える   大和総研アメリカ　岡野進

[2004.07.29]  国民１人当たりの借金1000万円時代はそう遠くない？？   資本市場調査部　内藤武史

[2004.07.28]  金利上昇に対峙する企業年金基金て   年金運用コンサルティング部　大藤康博

[2004.07.27]  未公開会社の株券廃止に向けて   制度調査部　横山淳

[2004.07.26]  アジアの低PERは必ずしも株価反発、上昇につながらず   大和総研シンガポール　由井濱宏一

[2004.07.23]  セキュリティ脆弱性情報に関する指針策定で増す企業責任   情報技術研究所　小川創生

[2004.07.22]  定款授権の自己株取得のその後   制度調査部 　堀内勇世

[2004.07.21]  大和の中国投資情報　7月号今月号の視点「近づく急進的引締めの終わり」   　投資戦略部

[2004.07.20]  長期金利はいつ本格上昇するか   資本市場調査部　鈴木準

[2004.07.16]  企業戦略とグループ再編   事業戦略コンサルティング部 　間所健司

[2004.07.15]  日本型長期不況入りを懸念する韓国   ソウル駐在 　五百旗頭治郎

[2004.07.14]  ＴＯＰＩＸの浮動株指数への移行について   投資戦略部 　壁谷洋和

[2004.07.13]  「財務会計の基本概念」の討議資料公表　わが国の独自性を重視   制度調査部 　吉井一洋

[2004.07.12]  進化するデータセンター・ビジネス   ニューヨーク情報技術センター 　伊藤慶昭

[2004.07.09]  新世紀ベンチャーのモデルを考える ― 知識経営とベンチャー   新規産業調査部 　浅野信久

[2004.07.08]  米国4年ぶりの利上げも既に後手？   投資戦略部 　成瀬順也

[2004.07.07]  地域再生   資本市場調査部 　星野菜穂子

[2004.07.06]  香港特別行政区設立記念日のデモ行進   大和総研香港 　櫛田雅弘

[2004.07.05]  米国エコノミストの素朴な疑問   経済金融調査部 　牧野潤一

[2004.07.02]  介護保険は第二の年金？   年金事業開発部 　齋藤哲史

[2004.07.01]  金星の蝕から学ぶこと   チーフエコノミスト 　原田泰   　  　※　執筆者の部署名、肩書き等はコラム執筆時のものになります。

コメンテーター一覧

このページの先頭に戻る