ソフトウエアやハードウエアシステム等の脆弱性を発見した者が、その 脆弱性を修正できるベンダ (開発者) に直接情報を送付しても、その情 報が適切に取り扱われない、またはそもそも脆弱性情報の送付先が不明 であるために、その脆弱性が修正される前に攻撃に悪用されてしまうこ とがあります。 そのような中で、米国 CERT/CC や英国 NISCC (現在の CPNI) は、公開 前の脆弱性情報をベンダと調整し、修正が完了した後に世界同時に公開 するという「脆弱性情報ハンドリング」を行なっており、一定の成果を 挙げていました。しかし、日本のベンダとの調整については、時差や言 語、文化の違いなどからスムースに進まないことがあったことから、 JPCERT/CC は 2002年より CERT/CC および NISCC と協力し、日本国内 ベンダとの調整業務を行っていました。 このような実績を踏まえ、日本国内の脆弱性情報流通の枠組みを整備す る動きが生まれました。そして 2004年7月7日、経済産業省より公示さ れた「ソフトウエア等脆弱性関連情報取扱基準」において、JPCERT/CC が、日本国内の脆弱性関連情報流通のための調整機関として指定されま した。また同指定告示により、脆弱性関連情報の受付機関として指定を 受けた独立行政法人情報処理推進機構 (IPA) と連携し、日本国内にお ける脆弱性関連情報流通を行なうことになりました。
参考文書(日本語)
-
JPCERT/CC
脆弱性情報ハンドリング
http://www.jpcert.or.jp/vh/
-
独立行政法人情報処理推進機構
脆弱性関連情報に関する届出について
http://www.ipa.go.jp/security/vuln/report/index.html
Weekly Report 2009-02-04号 に掲載