セキュリティ脆弱性情報に関する指針策定で増す企業責任

RSS

2004年07月23日

  • 小川 創生
今月 (2004年7月) 7日に、経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」を公示した。それを受けて8日には、独立行政法人・情報処理推進機構 (IPA) などが「情報セキュリティ早期警戒パートナーシップガイドライン」を発表し、IPA はセキュリティ脆弱性に関する情報の届出受付を開始した。

ソフトウエアや Web サイトの重大な脆弱性を、それらの開発者や運営者ではなく、外部のセキュリティ研究者や一般利用者が発見してしまうことが度々起こっている。その発見者は、はたしてその情報をどのように扱うべきか。これまでに様々な議論が積み重ねられ、その間にもいくつかの事件が発生し、報道されてきた。

代表的な事件を一つ挙げる。ある業界団体の Web サイトの脆弱性を突いてサイト利用者の個人情報を入手、公表した人物が、今年2月になって不正アクセス禁止法違反で逮捕、起訴されるという事件があった (東京地裁で公判中)。この事件で、被告である大学研究員 (逮捕後辞職) は、都内で開かれたセキュリティ関連イベントにおいて、脆弱性を突く具体的な方法を含む詳細な技術情報だけでなく、入手した個人情報までも多数のイベント参加者に公表した。しかも、当事者の業界団体に情報を通知したのはイベントでの公表後であった。個人情報の入手方法そのものが違法 (不正アクセス) かどうかについては、技術的、法律的な観点から議論の余地があり、裁判の争点となっている。しかし、その公表のやり方に倫理的な問題があったことは誰の目にも明らかであり、その点について被告は業界団体に謝罪している。

ネット上での被告はセキュリティ研究者として知られており、Web サイトにおける数々の脆弱性を発見し、企業や公的機関に適宜通知していたと言われている。しかし、通知が有効に機能せず、適切な対応がなされないことが多かったと被告は振り返っている。「無視されることが多かった」と被告が主張する一方で、通知を受けた側からは「脅迫ではないかと思った」という声も聞かれる。双方の言い分の是非はともかく、肝心の脆弱性対策が適切に実施されないという事態が少なからずあったのではないかと推察される。

この事例も示唆しているように、脆弱性の発見者と企業や公的機関との信頼関係、協力関係をいかに構築、維持するかが、脆弱性対策、ひいてはセキュリティ対策全体がうまくいくかどうかの大きなカギとなる。企業や公的機関にとっては、脆弱性情報が恣意的に公表されて危険が拡大してしまうのではないか、場合によっては業務妨害や脅迫に遭うのではないか、というような懸念がある。一方、発見者にとっては、脆弱性情報を公表しないと企業や公的機関が適切に対策してくれないのではないか、場合によっては業務妨害や脅迫と勘違いされるのではないか、というような懸念がある。そのような相互不信をいかにして取り除くかが重要となる。その上で、今後の脆弱性を事前に防止するための技術情報を業界全体で共有することも求められる。

その解決策として、公表する際の指針の策定や第三者機関の設置が進められている。マイクロソフトなどが参加する業界団体の Organization for Internet Safety (OIS) は昨年7月に、脆弱性発見者への7日毎の報告義務を企業に課した上で、発見者が企業に報告してから30日間は脆弱性の存在自体の公表を控え、さらに修正ソフト (パッチ) 作成後30日間は脆弱性の詳細の公表を控える猶予期間を発見者に求める、という指針を発表した。また、米カーネギーメロン大学コンピュータ緊急対応センター (CERT/CC) は、45日間という同様の猶予期間を設けた上で、脆弱性情報の届出受付、公表や企業との調整を行う第三者機関としての役目を担っている。日本でも、セキュリティ関連企業のラックのように、自主的に指針を策定し、自らが発見した他社製ソフトウエアの脆弱性情報を指針に従って報告、公表している民間企業が存在する。

このような状況を踏まえて、「ソフトウエア等脆弱性関連情報取扱基準」と「情報セキュリティ早期警戒パートナーシップガイドライン」が日本国内の指針として策定された。脆弱性情報の発見者からの届出受付を独立行政法人の IPA が担当し、企業や公的機関との調整を民間非営利団体の JPCERT/CC が担当する。両者は適宜連携して作業を進める。また、脆弱性情報の対象はソフトウエア製品と Web アプリケーションの二つに分類され、それぞれの特徴に応じた対策の手順が示されている。

この指針は概して、先に挙げた OIS や CERT/CC の例と比べて緩やかな内容となっている。ソフトウエア製品の場合、脆弱性情報の公表を控える猶予期間の日数 (45日) は変更可能な目安とされ、脆弱性の検証方法などの詳細は一切公表しないこととされている。さらに Web アプリケーションの場合、IPA は脆弱性情報や Web サイト名を公表せず、統計データしか公表しない (個人情報漏洩の可能性がある場合には Web サイト運営者に脆弱性情報の公表を求める)。脆弱性の修正完了から1ヵ月後には Web サイト名等の情報を破棄することとなっており、たとえば訴訟問題に発展した際の証拠としてデータが採用されない可能性が大きい。

しかし、だからこそ、企業や公的機関にはより一層の責任ある対応が求められることを強調したい。先に述べたように、このような指針や第三者機関がうまく機能するかどうかは、互いの信頼関係、協力関係をいかに構築、維持するかにかかっている。そのような認識の高まりから、個々の企業内における脆弱性情報の取扱いの指針を策定する動きが日本の業界団体 (電子情報技術産業協会 (JEITA) と情報サービス産業協会 (JISA)) に見られる。脆弱性情報に適切な対応をとれるような、組織内での指針や体制の整備が、企業や公的機関に今後一層求められる。

(参考資料)
独立行政法人・情報処理推進機構 (IPA) 「脆弱性関連情報の取扱い」
http://www.ipa.go.jp/security/vuln/

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。