HOME情報セキュリティ届出・相談・情報提供脆弱性関連情報の届出連絡不能案件の公表判定業務における取扱いプロセス

本文を印刷する

情報セキュリティ

連絡不能案件の公表判定業務における取扱いプロセス

2015年 7月 23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

連絡不能案件の公表判定とは

2004年7月7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)を公示し、これに基づき独立行政法人 情報処理推進機構(IPA)は、脆弱性関連情報の届出の受付、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)はソフトウエア製品の脆弱性関連情報の公表に係る調整を行ってきました。
この中で、製品開発者と連絡が取れない事により、ソフトウエア製品の脆弱性対策情報の公表に係る調整ができない届出(以降「連絡不能案件」)があります。この様な連絡不能案件に対して、何らかの調整を行わないと、脆弱性が存在する状態が継続されてしまうこと、もしくは、脆弱性情報が公表されない事により脆弱性があるソフトウエア製品を継続して利用し、製品利用者が被害に遭う可能性がある状況です。
 この状況を受け、製品利用者の脆弱性による被害を受ける可能性を低減するためには、脆弱性情報を知り得ること、および、知り得た情報により対策を実施するための判断をする機会を得る必要があります。これを実施するために、2014年5月14日に経済産業省は「ソフトウエア等脆弱性関連情報取扱基準」(平成26年経済産業省告示第110号)を公示し、IPAが連絡不能案件の脆弱性情報を公表するか否かを判定する公表判定機関に指定され、判定の結果により脆弱性情報を公表することが可能となりました。

連絡不能案件の取扱いプロセス

連絡不能案件の取扱いにおいては、脆弱性情報を公表しない場合に製品利用者等が受けうる被害と、公表した場合に製品開発者、製品利用者等が被りうる不利益が生じ得ます。このバランスに配慮するとともに、社会的背景も思料し、不利益を被りうる関係者が意見を表明することも可能な、透明性・妥当性のある処理プロセスを整備しました。

連絡不能案件の取扱いプロセス

1.届出の受付
発見者からのソフトウエア製品の脆弱性関連情報の届出を受付けます。

2.届出の受理/不受理の決定
記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を通知します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。

3.JPCERT/CC への脆弱性関連情報の連絡
IPAは、脆弱性関連情報をJPCERT/CC に通知します。

4.製品開発者へ連絡
JPCERT/CCは、脆弱性関連情報を通知し対策を促すため、製品開発者の連絡先を調査し連絡を試みます。

5.起算日の連絡
JPCERT/CC は製品開発者への連絡を開始した旨(起算日)、および、製品開発者へ詳細情報を通知した場合は、その旨をIPAへ通知します。IPAは起算日、および、詳細情報通知日を発見者へ通知します。

6.連絡不能と判断
JPCERT/CCは、ソフトウエア製品に添えられた宛先情報をもとに電子メールや郵便、電話、FAXなどいずれの手段で製品開発者に連絡を試みても一定期間にわたり全く応答がない場合に連絡が取れないと判断し、「連絡不能開発者」と位置づけます。

7.連絡不能開発者一覧へ公表
JPCERT/CCは、連絡不能開発者一覧へ段系的に下記の情報を公表し、6の「連絡不能開発者」からの連絡もしくは関係者からの情報提供を呼びかけます。製品開発者から連絡があった場合は、連絡不能開発者一覧から削除し、製品開発者と脆弱性関連情報の公表に係る調整を行います。IPAは、連絡不能開発者一覧に公表/削除した際に、その旨を発見者へ通知します。
(1) 製品開発者名
(2) 具体的な製品の名称やバージョン
(3) 連絡期日

8.公表判定の依頼
JPCERT/CC は、7の連絡期日までに製品開発者から連絡がない場合、当該連絡不能案件の公表判定をIPAへ依頼し、公表判定の審議に必要な情報をIPAへ提供します。IPAは、審議に必要な情報を収集・整理した審議資料を組織した公表判定委員会へ提供します。

9. 公表判定委員会の開催
(1)公表判定委員会の開催通知と意見聴取
公表判定委員会は、製品開発者に対して脆弱性情報を公表すべきかどうか判定する旨を連絡します。また、製品開発者をはじめとする関係者に対して意見聴取を行ないます(製品開発者の連絡先が不明な場合、7をもって実施したと看做します)。
(2)公表判定
審議資料および製品開発者をはじめとする関係者の意見に基づき、判定条件を満たしている場合に公表が適当であると判定します。
(3)公表判定結果の通知
公表判定委員会は、公表判定結果を製品開発者へ通知します。公表が適当であると判定された場合、製品開発者は意見の併記を希望することができます。

10.脆弱性情報の公表
IPA、JPCERT/CCは、公表が適当であると判定された連絡不能案件の脆弱性情報と製品開発者が併記を希望した意見を、ポータルサイト(JVN)にて公表します。公表した際は、その旨を発見者へ通知します。

11.統計情報の公表
IPA、JPCERT/CCは、脆弱性に係る実態の周知徹底、被害の予防のため、連絡不能案件の公表判定業務に係る統計情報を公表します。

公表判定委員会とは

公表判定委員会は、IPAにより組織され、法律、情報セキュリティ、当該ソフトウエア製品分野の専門家などの専門的な知識経験を有する者を委員として指名し、委員長、委員、事務局から構成されます。また、公表判定の際には、中立性を考慮し、当該連絡不能案件に利害関係のない委員で判定を行ないます。
公表判定委員会は、関係者に意見表明の機会を提供し、その意見を踏まえ、公表が適当か否か(公表する条件を満たしているか否か)を判定します。

公表判定委員会 名簿
No 氏名 所属 専門分野
1 北島 周作 東北大学 法律
2 佐々木 良一 東京電機大学 情報セキュリティ
3 新 誠一 電気通信大学 制御システム
4 高木 浩光 国立研究開発法人産業技術総合研究所 情報セキュリティ
5 高橋 郁夫 駒沢綜合法律事務所 法律
6 土居 範久 慶応義塾大学 情報セキュリティ
7 町村 泰貴 北海道大学 法律

(五十音順、敬称略)

判定条件

下記の全ての状況を満たす場合、公表することが適当と判断します。それ以外は、公表しないことと判定します。

1. 当該案件が連絡不能であること
IPAおよびJPCERT/CCと製品開発者の間で連絡がとれないこと等により合意に至ることが社会通念上困難になったと判断される場合を「連絡不能」と位置づけます。IV.4.2)(14頁)に示した連絡方法をすべて試みても製品開発者と9カ月以上連絡が取れない場合、当該案件は連絡不能と判断します。

2. 脆弱性が存在すると判断できること
ソフトウエア製品の脆弱性とは、ソフトウエア製品等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。ソフトウエア製品において、情報セキュリティの三大要素(機密性、完全性、可用性)の1つ以上が侵害される可能性があり、その原因となる問題挙動をIPAまたはJPCERT/CCが具体的に例示可能であり、製品開発者が反証できないとき、脆弱性があると判断します。なお、判断においては、一般的なソフトウエア製品の利用方法や、製品開発者があらかじめ提示している使用条件等を考慮します。

3. 公表しない限り、当該脆弱性情報を知り得ない製品利用者がいるおそれがあること
製品開発者が当該ソフトウエア製品の製品利用者全員に確実に通知することが困難な場合を対象とします。たとえば、ソフトウエア製品が市販されている場合や、ホームページ等でダウンロード可能である場合はこれに該当します。

4. 公表が不適切であると判断する理由・事情がないこと
製品開発者の取組みや製品利用者の状況を鑑みて、公表をすることが適当ではないと判断する明確な理由・事情がある場合には、公表を行いません。

更新履歴

  • 2015年7月23日  連絡不能案件の公表判定業務における取扱いプロセスを掲載