HOME情報セキュリティ情報セキュリティ対策脆弱性対策ソフトウェア等の脆弱性関連情報に関する届出状況[2016年第1四半期(1月~3月)]

本文を印刷する

情報セキュリティ

ソフトウェア等の脆弱性関連情報に関する届出状況[2016年第1四半期(1月~3月)]

掲載日 2016年4月27日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

  • 以下は、「ソフトウェア等の脆弱性関連情報の取扱いに関する届出状況」1章の抜粋です。

1. 2016年第1四半期 ソフトウェア等の脆弱性関連情報に関する届出状況

1-1. 脆弱性関連情報の届出状況

 ~脆弱性の届出件数の累計は11,677件~

 表1-1は本制度(*1)における届出状況です。2016年第1四半期の脆弱性関連情報(以降「脆弱性」)の届出件数、および届出受付開始(2004年7月8日)から今四半期までの累計を示しています。今期のソフトウェア製品に関する届出件数は100件、ウェブアプリケーション(以降「ウェブサイト」)に関する届出は85件、合計185件でした。届出受付開始からの累計は11,677件で、内訳はソフトウェア製品に関するもの2,476件、ウェブサイトに関するもの9,201件でウェブサイトに関する届出が全体の約8割を占めています。

 図1-1のグラフは過去3年間の届出件数の四半期ごとの推移を示したものです。今四半期は前期同様、ソフトウェア製品に関する届出がウェブサイトに関する届出よりも多数を占めました。表1-2は過去3年間の四半期ごとの届出の累計および1就業日あたりの届出件数の推移です。今四半期の1就業日あたりの届出件数は4.17(*2)件でした。

表1-1.届出件数
分類 今期件数 累計件数
ソフトウェア製品 100 2,476
ウェブサイト 85 9,201
合計 185 11,677

 

図1-1. 脆弱性関連情報の届出件数の四半期ごとの推移

 

表1-2.届出件数(過去3年間)
  2013 2014 2015 2016
2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q 2Q 3Q 4Q 1Q
累計届出件数
[件]
8,665 9,022 9,321 9,511 9,839 10,171 10,648 10,895 11,057 11,270 11,492 11,677
1就業日あたり
[件/日]
3.95 4.00 4.03 4.01 4.04 4.07 4.16 4.16 4.13 4.11 4.11 4.17

 

1.2. 脆弱性の修正完了状況

 ~ソフトウェア製品およびウェブサイトの修正件数は累計7,844件~

 表1-3は今四半期、および届出受付開始から今四半期までのソフトウェア製品とウェブサイトの修正完了件数を示しています。ソフトウェア製品の場合、修正が完了するとJVNに公表しています(回避策の公表のみでプログラムの修正をしていない場合を含む)。

 今四半期にJVN公表したソフトウェア製品の件数は34件(*3)(累計1,181件)でした。そのうち、8件は製品開発者による自社製品の脆弱性の届出でした。なお、届出を受理してからJVN公表までの日数が45日(*4)以内だったのは10件(29%)でした。

 また、修正完了したウェブサイトの件数は98件(累計6,663件)でした。これらは届出を受け、IPAがウェブサイト運営者に通知を行い、今四半期に修正を完了したものです。修正を完了した98件のうち、ウェブアプリケーションを修正したものは66件(67%)、当該ページを削除したものは32件(33%)で、運用で回避したものは0件でした。なお、修正を完了した98件のうち、ウェブサイト運営者へ脆弱関連情報を通知してから90日(*5)以内に修正が完了したのは46件(47%)でした。今四半期は、90日以内に修正完了した割合が、前四半期(84件中38件(45%))より増加しています。

表1-3.修正完了(JVN公表)
分類今期件数累計件数
ソフトウェア製品 34 1,181
ウェブサイト 98 6,663
合計 132 7,844

1.3. 連絡不能案件の取扱状況

 本制度では、連絡が取れない製品開発者を「連絡不能開発者」と呼び、連絡の糸口を得るため、当該製品開発者名等を公表して情報提供を求めています(*6)。製品開発者名を公表後、3ヵ月経過しても製品開発者から応答が得られない場合は、製品情報(対象製品の具体的な名称およびバージョン)を公表します。それでも応答が得られない場合は、情報提供の期限を追記します。情報提供の期限までに製品開発者から応答がない場合は、当該脆弱性情報の公表に向け、「情報セキュリティ早期警戒パートナーシップガイドライン」に定められた条件を満たしているかを公表判定委員会(*7)で審議します。公表が適当と判定された脆弱性情報はJVNに公表されます。

 今四半期は、新たに12件について連絡が取れない製品開発者名を公表しました。製品開発者と連絡が取れ調整を再開したものはありませんでした。また、公表判定委員会での審議を経て、脆弱性情報がJVNに公表されたものもありませんでした。

 2016年3月末時点の連絡不能開発者の累計公表件数は229件、その内製品情報を公表しているものは197件となりました。

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
https://www.jpcert.or.jp/vh/index.html

(*2) 1就業日あたりの届出件数は、「累計届出件数」/「届出受付開始からの就業日数」にて算出

(*3) P.7 表2-3参照

(*4) JVN公表日の目安は、脆弱性の取扱いを開始した日時から起算して45日後としています。

(*5)対処の目安は、ウェブサイト運営者が脆弱性の通知を受けてから、3ヶ月以内としています。

(*6) 連絡不能開発者一覧:
https://jvn.jp/reply/index.html

(*7) 連絡不能案件の脆弱性情報を公表するか否かを判定するためにIPAが組織する。
法律、情報セキュリティ、当該ソフトウェア製品分野の専門的な知識や経験を有する専門家、かつ、当該案件と利害関係のない者で構成される。

資料のダウンロード

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 久保
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2016年4月27日 掲載