経済産業省は9月9日、脆弱性関連情報の取り扱いに関して声明を発表。IPAやJPCERT/CCなどが策定している「情報セキュリティ早期警戒パートナーシップガイドライン」に即して情報を取り扱うよう求めた。
同省では、ソフトウェアなどの脆弱性関連情報が発見された際に、情報をどのように取り扱うべきかを示した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」を制定。これを踏まえ、IPA、JPCERT/CC、JEITA(一般社団法人電子情報技術産業協会)、SAJ(一般社団法人ソフトウェア協会)、JISA(一般社団法人情報サービス産業協会)、JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)が共同で「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。
このガイドラインでは、脆弱性関連情報の関係者(発見者、IPA、JPCERT/CC、製品開発者やWebサイト運営者を指す)に推奨される行為が取りまとめられている。具体的には、脆弱性情報が第三者に漏れないよう関係者の間で適切に管理し、開発者などによる検証や対策が実施された上で情報を公表することで、悪用による被害の低減を図る。
その上で同省は、脆弱性を発見した場合には受付期間であるIPAに届出を行ない、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由があって開示が必要な場合も事前にIPAに相談するよう呼びかけた。加えて製品開発者やWebサイト運営者に対しても、責任ある情報開示に向けて協調/協力してほしいとした。
また、報道機関やそのほかの産業界に対しても、公表前の脆弱性関連情報は慎重な取り扱いが必要であり、ガイドラインの趣旨を理解した上で、むやみに開示することは控えるよう求めた。
脆弱性情報の取り扱いに関する課題や改善については、今後もIPAが主催する「情報システム等の脆弱性情報の取扱いに関する研究会」にて引き続き議論を進めていくほか、2025年5月に成立したサイバー対処能力強化法にともなう脆弱性対応強化を踏まえ、仕組みについても見直しの検討を行なっていくとしている。
コメント