debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【9日目】脆弱性届出制度ができた経緯

まえがき

12月9日(土曜)の記事です。平日は思いつきの記事しか書けないので、土日くらいはちょっと調査しながら分かったことを書こうかなと思います。

IPA脆弱性届出制度ができた経緯と、最近の届出制度の状況について書いてみます。

IPA に脆弱性届出制度ができたきっかけ

3日目までの記事でも触れましたが、これは2004年7月にできました。

https://www.ipa.go.jp/security/vuln/report/ にも次のように書かれています。

脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004 年7月7日から経済産業省の告示に基づき策定された情報セキュリティ早期警戒パートナーシップガイドラインに則り運用しています。

IPA に脆弱性届出制度ができた理由

Webサービス(Webアプリケーション)やソフトウェアを開発している「開発者(企業など)」がセキュリティ意識をきちんと持って、もし脆弱性が発見された場合には速やかに修正しその脆弱性情報を公表(アップデートのお願い)などを行う姿勢があることが望ましいのですが、そのような姿勢・体制が整っている開発者は意外と少なかったようです。

IPA「脆弱性届出制度に関する説明会」について | IT Research Art には次のように書かれています。

まずは、この制度が構築されたのが、2002-2003年の時期であったということは、さけて通ることができないと思います。その当時までに、時計を巻き戻してみましょう。

研究者・実務家の方が、脆弱性を見つけた、それを企業に対して、これ、脆弱性になるから直したらいいんじゃないの?と届けたときにどうなっていたでしょうか。

多分、何か、脅迫・恐喝つもりなのですか?という態度で開発者がまともにとなりあわないということになっていたのではないでしょうか。

理屈から考えると、脆弱性が少ないこと、もし、見つかった場合には、真剣に、その届出に対応してもらって、できるかぎり、脆弱性のないソフトウエアを提供しましょう、というのが望ましいというのは、誰もが、合意してもらえるかと思います。しかしながら、現実は、「絶望的なぐらいに」そのありうべき姿と乖離していたのです。

脆弱性の発見者が直接、開発者(企業)にその問題を指摘しても無視されたりする状況が懸念されるので、公的な機関として脆弱性情報の届出を受け付ける窓口を用意することになった、という感じですね。

IPAの役割

届出された脆弱性情報を IPA が開発者に連絡してくれるわけですが、窓口のできた2004年当時の記事を見ると、そのやりとり自体にも苦労があったようです。

この制度自体を知らないWebサイト運営者からはセールスやフィッシング詐欺と勘違いされ、取り合ってくれない場合がある(後略)

たまたま見つけたので、2014年8月のとあるツイートも載せておきます。

脆弱性情報を公開する目的については、IPAJPCERT/CC が共同で運用している JVN などの脆弱性情報データベースフルディスクロージャについて調べると知ることができそうです。

脆弱性情報届出制度について、海外では同様の制度の運用はないのですね。

さて、2004年当時に届出制度が用意された経緯について簡単に触れましたが、その届出制度について2017年に動きがあったので次の記事でそれについて書いてみたいと思います。

今日のステータス

https://www.ipa.go.jp/security/vuln/report/index.html

改修中

9日の記事だけど10日に書きました。

これはウェブ届出フォーム Advent Calendar 2017 の記事です。

Next debiru's HINT 「ホームページいうな