HOMEIPAについて新着情報プレス発表 届出された脆弱性関連情報における連絡不能な製品開発者の一覧を公表

本文を印刷する

IPAについて

プレス発表 届出された脆弱性関連情報における連絡不能な製品開発者の一覧を公表

2011年9月29日
独立行政法人情報処理推進機構

~製品開発者との調整が滞っている脆弱(ぜいじゃく)性関連情報の対策を促進~

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、製品開発者と連絡が取れず調整が滞っている脆弱性関連情報について、脆弱性対策を促進し、ソフトウェア製品の利用者が被害を受ける可能性を低減することを目的として、2011年9月29日、JVNにて「連絡不能開発者一覧」の公表を開始しました。
URL: http://jvn.jp/reply/index.html

 IPAとJPCERT/CCは2004年7月から、経済産業省の告示の下で、官民連携したソフトウェア等の脆弱性関連情報流通の枠組みである「情報セキュリティ早期警戒パートナーシップ(*1)」に賛同した関係者の協力のもと脆弱性関連情報届出制度を運営しており、ソフトウェア製品の脆弱性関連情報の届出受付と、製品開発者に対して調査と対策方法の作成を依頼しています。運営開始から7年が経過した2011年6月末時点で、累計1,207件のソフトウェア製品の脆弱性がIPAに届出されており、そのうち516件については、脆弱性対策が終了(JVN公表)し、累計で771件の取扱いが終了しています(*2)

 しかしながら、2011年6月末時点で取扱い中の案件が436件あり、その中には製品開発者と連絡が取れず調整が滞っている脆弱性関連情報も存在しています。このような脆弱性関連情報が連絡不能のまま滞留することを避け、脆弱性対策を促進し、利用者が被害を受ける可能性を低減するため、2011年3月に公開した「情報セキュリティ早期警戒パートナーシップガイドライン- 2010年版 -(*3)」にて下記の取扱方針を定め、このたび、連絡不能開発者50件を掲載した「連絡不能開発者一覧」の公表を開始しました。

  • 製品開発者と各種の連絡手段を用いて連絡を試み、連絡先が不明または一定期間に渡り全く応答が無い製品開発者については、JVNにて「連絡不能開発者一覧」として公表(製品開発者名または製品開発者を特定できる情報)し、IPA、JPCERT/CCが連絡を求めていることを周知
  • 公表後、一定期間(約3か月)を経過しても応答が無い場合は、製品情報(具体的な対象製品の名称およびバージョン)を追加で公表し、広く製品の関係者からの連絡を求めていることを周知

 IPA、JPCERT/CCはこの取り組みを進めるとともに、製品開発者に対し、連絡不能とならないよう、脆弱性が発見された際の連絡先の明示および連絡体制の確立を求めます。また、この取り組みを通じて、脆弱性関連情報届出制度の実効性を高め、より安心してソフトウェア製品を利用できる情報社会の確立に寄与していきます。

脚注

(*1)情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.htm

(*2)ソフトウェア等の脆弱性関連情報に関する届出状況[2011年第2四半期(4月~6月)]
http://www.ipa.go.jp/security/vuln/report/vuln2011q2.html

(*3)「情報システム等の脆弱性情報の取扱いに関する研究会」2010年度報告書
http://www.ipa.go.jp/security/fy22/reports/vuln_handling/index.html

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。