1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. IPA、脆弱性届出から"1年以上開発者と連絡がとれない"情報を公開

IPA、脆弱性届出から"1年以上開発者と連絡がとれない"情報を公開

IPA、脆弱性届出から1年以上開発者と連絡がとれない情報を公開
独立行政法人 情報処理推進機構(IPA)は、9月3日、「脆弱性関連情報届出制度」の情報公開に関する新たな運用を開始した。

これは、IPAに発見・届出が寄せられたソフトウェアの脆弱性情報のうち、届出から1年以上開発者と連絡がとれない脆弱性情報を公開するというもの。こうした「届出から1年以上開発者と連絡がとれない脆弱性」は、1割弱存在するという。

IPAは、JPCERT/CC(ジェイピーサート・コーディネーションセンター:日本国内レベルでセキュリティ事案への対応を国際的に連携する組織)とともに、2004年7月より、ソフトウェアの「脆弱性関連情報届出制度」を運用しているが、以下の問題点が指摘されていた。

(1)開発者に連絡がとれないことにより、指摘された脆弱性の修正パッチ等が提供できない
(2)その結果、利用者が長期にわたり脆弱性の存在を認識できないままソフトウェアを使い続けてしまう

そこで、製品利用者の安全確保を第一義とし、「当該製品を使用しないという選択」を可能とするため、「対策情報が提供されていない製品の脆弱性情報」を公表する新たな運用を開始し、同日2件をJVNにて公表した。また、これらの情報は今後、IPAのWebサイトの「重要なセキュリティ情報」欄においても「連絡不能公表」として掲出する。

IPAによると、脆弱性への対策が用意されない状態で情報が公になることは攻撃のきっかけとなる可能性があることから、これまで、修正等の対策がなされるまでは脆弱性情報は非公開とする運用を行ってきた。しかし、上述のような問題点が指摘されていたため、「連絡不能開発者一覧」の公表(2011年)を行うなど、段階的に情報公開を行い、開発者との連絡手段確保に努めてきた。

今回の運用は、それでも開発者と連絡がとれない場合の対処であるとIPAは説明している。

届出から1年以上開発者と連絡がとれない"脆弱性"を公開する、新たな運用を開始(IPA)
脆弱性が修正されないソフトは使用中止の検討を――IPAが新制度(ITmedia)

【関連製品またはソリューションのご紹介】
脆弱性リスク管理アプライアンス Vulnerability Manager
情報セキュリティ維持に必須となる、脆弱性リスク管理の運用サイクルを自動化します。

関連キーワード:

IPA

JPCERT/CC

ソフトウェア

脆弱性

  • Logjam(ログジャム)とは
  • カテゴリートップへ
  • 「情報セキュリティブログ」は10周年を迎えました