HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報システム等の脆弱性情報の取扱いに関する研究会 報告書

本文を印刷する

情報セキュリティ

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

最終更新日 2009年7月8日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を含む報告書をとりまとめ、2007年5月30日(水)より、IPAのウェブサイトで公開しました。
 本マニュアルは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)において、昨年12月から行われた検討の成果です。

概要

 ソフトウェア製品開発者にとって、利用者に安全なソフトウェア製品を提供することは、品質に対する信頼確保の観点から重要ですが、現実には周到な安全設計のもとに開発された製品であっても、セキュリティ上の弱点(脆弱性)が生じてしまうことがあります。

 過去にリリースした製品に脆弱性が存在することを知りながら、脆弱性対策情報を公表せず、被害が生ずる可能性を隠したり、不十分な内容の公表にとどめたり、虚偽の内容を公表することは、利用者の情報資産や社会活動を危険にさらす結果を招きかねません。製品開発者は速やかに脆弱性対策を施し、利用者に的確な脆弱性対策情報を提供することが望まれます。

 こうした状況を踏まえ「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授、報告書要旨:別添1)では、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を作成しました。

 本マニュアルは、利用者に必要な情報が的確に届けられることを目的に、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順について、具体的に公表すべき項目と公表例、脆弱性対策情報への誘導方法などを記載しているほか、望ましくない公表例なども記載しています。本マニュアルが、製品開発者にとって、脆弱性対策情報を公表する際の参考となることを期待しています。

 本マニュアルを、脆弱性関連情報の適切な流通により、コンピュータ不正アクセス、コンピュータウイルスなどによる被害発生を抑制するために、関係者に推奨する行為をとりまとめたガイドライン「情報セキュリティ早期警戒パートナーシップガイドライン」の一部としました(2007年6月11日更新)。

(参考)

別添1.「情報システム等の脆弱性情報の取扱いに関する研究会」 報告書要旨

 政府やIT業界、セキュリティ機関等が我が国の情報セキュリティ確保のために協力する形で実現した情報セキュリティ早期警戒パートナーシップは、ソフトウェアの脆弱性という問題に対処する官民連携の枠組みとして機能してきました。2004年7月の運用開始から2007年3月末までにソフトウェア製品及びウェブアプリケーションの脆弱性に関する届出は1,299件に達し、制度としても着実に認知されてきました。

 2006年を概観すると、政府においては、我が国の情報セキュリティ対策に係る中長期の戦略である「第1次情報セキュリティ基本計画」(2006年2月2日情報セキュリティ政策会議決定)および政府2006年度計画「セキュア・ジャパン2006」(2006年6月15日情報セキュリティ政策会議決定)が示され、官民における情報セキュリティ対策に関する情報共有・連絡体制強化が強く推進されつつあります。

 その一方、攻撃の兆候や被害の影響が見え難くIT利用者や管理者が気付き難い脅威がさらに増加する傾向が強まったとの指摘もあります。特に、存在が周知される前の脆弱性が攻撃に悪用される、いわゆる「ゼロデイ攻撃」の事例が増加している点が懸念されます。
このようにIT業界やユーザ企業をとりまく環境が変化する中、情報セキュリティ早期警戒パートナーシップが果たすべき役割は、間違いなくこれまで以上に重要になっていきます。

 そこで、今年度の「情報システム等の脆弱性情報の取扱いに関する研究会」では、2年半にわたる運用実績を基盤としてさらなる一歩を踏み出すべく、活発な議論を展開しました。本報告書は、そうした議論を集約して、今後の情報セキュリティ早期警戒パートナーシップの目指す方向性を示したものとして、関係者の協力により作成されたものです。

 脆弱性対策情報ポータルサイトJVN(Japan Vulnerability Notes)の日本のマーケット・製品を指向したリニューアルや脆弱性対策情報データベース(JVN iPedia)の新規公開、また、製品利用者の脆弱性関連情報の分析・適用を支援するための共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)による深刻度評価の開始などは、本研究会の検討結果に従い実施した成果となっています。

報告書のダウンロード

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:

更新履歴

2009年7月8日 脆弱性対策情報の公表マニュアルを、ガイドラインの2009年改訂に合わせ第2版第3刷としました。
2008年4月4日 脆弱性対策情報の公表マニュアルを、ガイドラインの2008年改訂に合わせ第2版第2刷としました。
2007年6月11日 脆弱性対策情報の公表マニュアルを、ガイドラインの2007年改訂に合わせ第2版とし、ガイドラインの一部としました。
2007年5月30日 掲載