HOME情報セキュリティ資料・報告書・出版物調査・研究報告書「情報セキュリティ早期警戒パートナーシップにおけるグローバル化の課題と今後の方針調査報告書」などを公開

本文を印刷する

情報セキュリティ

「情報セキュリティ早期警戒パートナーシップにおけるグローバル化の課題と今後の方針調査報告書」などを公開

最終更新日:2014年3月27日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「情報システム等の脆弱性情報の取扱いに関する研究会」における2013年度の活動成果として、脆弱性情報の取扱いに関して国際的な対応に向けた課題や今後の方針および対応策をまとめた調査報告書と、制御システムの脆弱性情報取扱いに係わる情報セキュリティ早期警戒パートナーシップガイドラインの改訂案などを公開しました。

概要

 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)の2013年度の活動成果として、脆弱性情報の取扱いに関して国際的な対応を要する場面の実態を調査のうえ課題を抽出し今後の方針や対応策をまとめた調査報告書、制御システムの脆弱性情報取扱いに係わる情報セキュリティ早期警戒パートナーシップガイドライン(以降、ガイドライン)の改訂案、研究会の2013年度報告書などをとりまとめ、公開しました。

情報セキュリティ早期警戒パートナーシップにおけるグローバル化の課題と今後の方針 調査報告書

 IPAと一般社団法人JPCERTコーディネーションセンター(以降、JPCERT/CC)などが中心となり2004年7月から運用をすすめてきた脆弱性情報の届出制度である「情報セキュリティ早期警戒パートナーシップ(以降、パートナーシップ)」が10年目を迎えようとしています。
 その一方で国際的な動きとして、ソフトウェア製品開発者の脆弱性開示に係る対応を規定する国際基準(*1)や、製品開発者の組織内での脆弱性情報取扱い手順を規定する国際基準(*2)、それぞれ国際標準化され、将来的にこれらの国際標準との整合やギャップといった観点から、パートナーシップの対応が問われることとなります。
 また、パートナーシップは現在のところは国内ユーザのための仕組みとして機能していますが、今後は国際展開を図る日本企業を支援する役割を担うことも検討すべきとの指摘があります。

 このような意見を踏まえ、広い観点から脆弱性情報の取扱いに関して国際的な対応を要する場面における実態を調査し、パートナーシップの今後の課題を明確化しました。

① 脆弱性情報の取扱における国際的な対応の実態に関する調査
 ・関連国際標準とパートナーシップとの整合性・ギャップの明確化
② 脆弱性情報の取扱に係る国際標準に関する調査
 ・IPA・JPCERT/CCのパートナーシップ運用者へのヒアリングに基づく国際的な対応の現状・課題の整理
③ ソフトウェア製品開発者における国際的な脆弱性情報の取扱いに関する調査
 ・ソフトウェア製品開発者へのヒアリングに基づく国際的対応を要する場面と課題の明確化
④ グローバルなウェブサイトにおける脆弱性対応に関する調査
 ・アンケート・ヒアリングに基づく、グローバル展開を行うウェブサイトにおける脆弱性対応の取組み実態と課題の把握

 これらの調査結果を踏まえ、パートナーシップにおける国際的な対応を要する場面と課題を整理するとともに、パートナーシップのグローバル化対応に向けて今後の方針や対応策を検討し「情報セキュリティ早期警戒パートナーシップにおけるグローバル化の課題と今後の方針 調査報告書」を作成しました。

(*1)ISO/IEC 29147 “Vulnerability disclosure”
(*2)ISO/IEC 30111 “Vulnerability handling processes”

制御システムの脆弱性情報取扱いに係るガイドライン改訂

 2012年度にJPCERT/CCや制御システム関係者でまとめた提言を受け、2013年度研究会の下に有識者、専門家、関連団体の代表等による「制御システム脆弱性取扱検討ワーキンググループ(以降、WG)」を設置し検討を行いました。

 2012年度提言として挙げられた論点およびWGで追加された論点は、以下の通りです。

  • 制御システムの定義
  • 「45 日ルール」と公表の決定
  • 公表の要否
  • パッチの策定や適用が困難な場合の対応
  • 海外の調整機関等からの情報の流れ
  • 発見者が第三者に開示する意向がある場合の対応
  • 受付機関・調整機関から第三者への分析依頼
  • 脆弱性関連情報の入手方法
  • 届出手順の見直し
  • 受付機関・調整機関への監査   
  • 調整不能案件の公表に関する委員会の設置
  • 調整不能案件の公表における判定
  • 利害関係のない委員の確保
  • 製品の使用条件

 これらの論点を軸に、現行のパートナーシップへの影響や問題点などをWGにおいて検討し、関連事業者および有識者ヒアリングにて内容の妥当性を確認し、ガイドラインの改訂案を策定しました。

 2013年度の研究会では、パートナーシップにおけるグローバル化対応や制御システムの脆弱性情報取扱いの検討のほか、制度運営上の問題解決に関する検討などガイドラインの見直しに関する調査を実施しました。詳細は次項をご覧ください。

「情報システム等の脆弱性情報の取扱いに関する研究会」2013年度報告書

 政府やIT業界、セキュリティ機関等が我が国の情報セキュリティ確保のために協力する形で実現したパートナーシップは、ソフトウェアの脆弱性という問題に対処する官民連携の枠組みとして機能してきました。
 2013年度の研究会では、制御システムの脆弱性取扱いに係わるガイドラインの改訂について検討しました。また脆弱性取扱いに関して国際的な対応を要する場面に関して実態を調査し、パートナーシップの今後の課題を抽出し資料としてまとめました。
 本報告書はこれらの検討を集約したものです。

■報告書の構成(目次)

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 本年度研究会における検討
2. 制御システムの脆弱性取扱に係るPガイドライン改訂に関する調査
 2.1. 調査の概要
 2.2. 検討結果
3. 国際化に伴う情報セキュリティ早期警戒パートナーシップの展開に関する調査
 3.1. 脆弱性情報の取扱における国際的な対応の実態に関する調査
 3.2. 脆弱性情報の取扱に係る国際標準に関する調査
 3.3. ソフトウェア製品開発者における国際的な脆弱性情報の取扱いに関する調査
 3.4. グローバルなウェブサイトにおける脆弱性対応に関するアンケート調査
 3.5. パートナーシップのグローバル対応に関する調査
4. Pガイドラインの見直しに関する調査
 4.1. Pガイドラインの見直しに資する調査
 4.2. Pガイドライン改訂案の作成に関する調査
参考1 情報システム等の脆弱性情報の取扱いに関する研究会 名簿
参考2 研究会の検討経緯
参考3 制御システム脆弱性取扱検討ワーキンググループ 名簿
参考4 WGの検討経緯
別紙1 情報セキュリティ早期警戒パートナーシップガイドライン改訂案
別紙2 情報セキュリティ早期警戒パートナーシップにおけるグローバル化の課題と今後の方針調査報告書

 IPAとしてはこれら調査報告書が有効利用され、IT分野に留まらず制御システムを含む広範なソフトウェアの脆弱性対策の普及が進むことを期待しています。

資料のダウンロード

ガイドライン改訂案に関するパブリック・コメント受付

 ガイドライン改訂案へのパブリック・コメントについては、2014年3月27日~2014年4月25日の期間で受け付けます。以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

更新履歴

2014年3月27日 掲載