プレス発表　動画「脆弱性発見・報告のみちしるべ 　発見者に知っておいて欲しいこと」全8編の公開

2020年4月6日
独立行政法人情報処理推進機構

IPAはこれまで、脆弱性関連情報の届出の受付機関^(脚注1)として、その適切な流通と対策の促進を目的に業務を担ってきました。しかし当初は“脆弱性”という言葉はほとんど知られておらず、ごく一部の専門家以外に、脆弱性の問題と対策の重要性は認識されていませんでした。

その後、2013年以降には、複数の国内組織や政府機関のウェブサイトで、使用されていたCMS^(脚注2)の脆弱性が悪用され、改ざんの被害が発生したことがありました。このようなインシデントを経て、その原因である“脆弱性”の存在と問題が徐々に認識されるようになりました。それと共に、脆弱性の発生原因および再現方法を理解することが開発者にも求められるようになりました。加えて、脆弱性報奨金制度を採用する開発企業も徐々に増え、善意の発見者による脆弱性報告に対しても社会の理解が進みました。

その発見者には、脆弱性の正しい扱い方や倫理観が必要です。それを誤るとトラブルに発展する可能性もあり、IPAは、脆弱性の発見や取扱いに関して、これまで文字中心の説明資料で理解を促してきました。

本日公開した短編動画は、脆弱性の発見を行う初学者向けで、視覚的な訴求力を高めるため、既存資料をスライドショーとして再構成したものです。各動画の再生時間は2～3分程度で、すきま時間に視聴することができます。また個人学習やワークショップ、教育機関での教材としての活用を想定し、全8編をまとめた統合版も用意しました。

この動画では、視聴により、次の3つの問題を理解することができます。

• 脆弱性の誤った発見方法によっては、意図せずウェブサイトを停止させてしまうこと
• 脆弱性情報の誤った取扱い方法によっては、攻撃を誘発してしまうこと
• 脆弱性情報の誤った報告方法によっては、脆弱性が修正されないこと

IPAでは善意の発見者が社会で認知、理解され、発見者が報告したウェブサイトやソフトウェア製品などの脆弱性が速やかに対策されることを期待しています。

• 脚注1 2004年7月に経済産業省の告示に基づき策定された、情報セキュリティ早期警戒パートナーシップガイドラインに則り、事業を実施。
  脆弱性関連情報取扱体制
• 脚注2 Contents Management Systemの略。主なソフトウェアにはWordPress、Drupal、Movable Typeなどがある。