脆弱性届け出制度がスタート | ScanNetSecurity
2024.04.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

脆弱性届け出制度がスタート

 セキュリティ対策の潮流はここ数年、大きく変わりつつある。ひとことで言えばそれは「事後対応」から「予防」という変化である。

特集 特集
 セキュリティ対策の潮流はここ数年、大きく変わりつつある。ひとことで言えばそれは「事後対応」から「予防」という変化である。

 不正アクセスやコンピュータウイルスについて、1990年代を支配したスキームは「事後対応」だった。不正アクセスなどのインシデントが起きたら、企業はその事実を有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)に報告し、そしてJPCERT/CCは被害企業に対して被害状況の分析や対策へのアドバイスなどを行うというものだ。だがこのスキームは、有効に運用されたとは言い難かった。企業側が自社のブランドイメージを傷つけかねない不正アクセスについて、よほどの犯罪性がない限りは報告しようとしなかったからである。

 こうした企業側の非協力的な姿勢に加え、コンピュータウイルスの跳梁跋扈がますますひどくなり、技術も高度化して「ゼロデー」の恐怖がいよいよ現実になってきたことで、政府は対応の変化を余儀なくされるようになったのである。

■ゼロデーの恐怖

 ゼロデーというのは、OSやアプリケーションの脆弱性がベンダから公表され、修正パッチがリリースされる前に、その脆弱性を突いたコンピュータウイルスが出現してしまうことだ。いったん感染を開始すると、その侵入を止める手段は誰も持ち合わせていない。ベンダが修正パッチを大急ぎで作り上げるまでの間、企業や個人はなすすべもなく、ゼロデーウイルスがわが物顔で侵入を繰り返すのを見守っていなければならない。セキュリティ業界にとっては最悪の悪夢と言えるだろう。現時点ではこのゼロデーウイルスは登場していないが、脆弱性の発見からウイルスが登場するまでの期間はここ数年、どんどん短縮してきている。

 たとえば2003年1月に猛威を振るったSQL Slammerの場合、その脆弱性情報が公開されたのは2002年7月で、約半年の時間差があった。ところがその後に登場したMSBlastはきわめて短時間で登場し、業界人を驚かせた。このウイルスが悪用したWindows脆弱性「MS03-026」がマイクロソフトから報告されたのは、7月16日。だがそのわずか1週間後の7月25日には、中国のハッカーグループがこの脆弱性を利用したエクスプロイトコードをインターネット上で公表してしまったのである。今年5月に出現したSasserは、さらに短縮された。脆弱性発見から何と6日間で、ワームが現れてしまったのである。

 この事態が進行していけば、いずれはゼロデーが跳梁する日がやってくるかもしれない。そのような時代状況にあって、インシデントの事後報告という悠長な対応では追いつかない。経済産業省とJPCERT/CCは2003年から、インターネットの定点観測を行って被害原因をリアルタイムで捕捉するプログラムを開始しているが、さらに抜本的な対策として、ソフトウェアやウェブアプリケーションの脆弱性情報の届け出を受け付けるスキームを考えたのである。7月20日に東京のホテルで開かれた独立行政法人情報処理推進機構(IPA)とJPCERT/CC主催のセミナーで、経産省セキュリティ政策室課長補佐の川口修司氏は、次のように語っている。「2003年4月ごろが境目となり、考え方が変化した。それまでの対策は、しょせんは対症療法的な対応にとどまってきたのではないか。たとえて言えば、水道管がひび割れ、あちこちから水が漏れているが、ひたすらパテを埋めまくることで水漏れを防いできたというのがそれまでの対応だった。しかしそもそも配管そのものがおかしいのではないか、そのうちドカンと壊れて水が漏れ出すのかも知れないという意見が多くなり、だったら抜本的に見直しをしようということになった」

■脆弱性取り扱い制度がスタート

 その脆弱性届け出制度は、7月8日からスタートした。

 仕組みは、次のようなものだ。
 スキーム自体は、経済産業省の「告示」と、それに基づいたJPCERT/CCとIPAが中心のガイドラインの2本立てとなっている。前者は「ソフトウェア等脆弱性関連情報取扱基準」という名称で、いわば今回のスキームに法的な裏付けを与えるものとなっている。後者は「情報セキュリティ早期警戒パートナーシップガイドライン」という名称で、具体的な手続きを詳細に説明している。

 手続きは、脆弱性が発見されたのがパッケージソフトウェアか、あるいはカスタマイズされたウェブアプリケーションかによって異なる。前者の場合、脆弱性を発見した者は、まずIPAに関連情報を届け出る。IPAはこの情報をJPCERT/CCに通知し、JPCERT/CCから該当の製品開発者(ソフト開発会社)に連絡が入り、検証を行った上で対策方法を作成し、対策情報ポータルサイト(JVN)が対策情報をとりまとめ、エンドユーザやマスコミ、一般利用者などに情報を公開するという段取りとなる。脆弱性情報の公開日は、取り扱い開始日から「45日後」が目安とされており、仮に製品開発者から検証結果や対応状況の報告がない場合は、その旨を製品開発者の名前とともに強制的に公表するという。

【執筆:ジャーナリスト 佐々木俊尚】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性 画像

Windows カーネルドライバの IOCTL 処理にアクセス制御不備の脆弱性
TvRock にサービス運用妨害(DoS)と CSRF の脆弱性 画像

TvRock にサービス運用妨害(DoS)と CSRF の脆弱性
NETGEAR 製ルータにバッファオーバーフローの脆弱性 画像

NETGEAR 製ルータにバッファオーバーフローの脆弱性
RoamWiFi R10 に複数の脆弱性 画像

RoamWiFi R10 に複数の脆弱性
Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report) 画像

Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)
Armeria-saml に SAML メッセージ取り扱い不備 画像

Armeria-saml に SAML メッセージ取り扱い不備

インシデント・事故 記事一覧へ

雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信 画像

雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信 画像

セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に 画像

タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に
LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導 画像

LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導
Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に 画像

Acompany で 4 件の Google フォーム誤設定、最大 164 名の個人情報が閲覧可能に
笛吹市商工会へのサポート詐欺被害、調査結果公表 画像

笛吹市商工会へのサポート詐欺被害、調査結果公表

調査・レポート・白書・ガイドライン 記事一覧へ

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由 画像

重い 高い 検索も使いにくいメールを企業の 6 割が使う理由
2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか 画像

2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか
2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性 画像

2024年第1四半期「JVN iPedia」登録状況、最多アクセスは WordPress 用プラグイン WordPress Quiz Maker Plugin における不適切な入力確認の脆弱性
国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表 画像

国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表
社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表 画像

社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表
セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多 画像

セキュリティにおける効果は実感できるのか ~ SECURITY ACTION 宣言「得られた効果はない」最多

研修・セミナー・カンファレンス 記事一覧へ

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料 画像

札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料
スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談 画像

スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談
ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

製品・サービス・業界動向 記事一覧へ

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供 画像

NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供
脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供 画像

脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供
脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、Apache httpd の脆弱性スキャンルール追加
研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント 画像

研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント
SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース 画像

SHIFT SECURITY、OWASP Top10 for LLMs に基づいた「生成AI活用システム診断」リリース
情報処理学会、高等学校情報科の全教科書の用語リスト公開 画像

情報処理学会、高等学校情報科の全教科書の用語リスト公開

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×