PR

 5月12日から13日にかけて開催されたRSA Security Confernece200 Japanで「情報システムの脆弱性に対処する!----対策の現状と今後の課題」と題し「情報セキュリティ早期警戒パートナーシップ」についてのパネル・ディスカッションが行われた。同パートナーシップは経済産業省告示に基づき2004年7月に開始された制度で,脆弱性関連情報を受け付け,製品開発者やWebサイト運営者に連絡し対処,公表するというもの。ディスカッションでは「関係者の協調した取り組みが不可欠」などの意見が交わされた。


パネル・ディスカッション

 モデレータの日経BP社 IT Pro 副編集長 勝村幸博は「脆弱性発見の連絡を受けても,製品開発者やサイト運営者は連絡を無視することもある。中には恫喝したりするケースもある。これでは発見者は開発者へは知らせなくなる。またユーザーに告知せず黙って修正する開発者も現実に存在する。これではユーザーは危険を知らされることなく,修正パッチ適用などの対処をしようとしない」という現実があると指摘。「第三者機関が仲介することで,理想的な状況に近付ける可能性がある」と早期警戒パートナーシップへの期待を表明した。ただし「単に仲介役を置いただけでは機能しない。発見者や開発者,ユーザー全員の協力が必要」と述べ,協調の必要性を指摘した。

 早期警戒パートナーシップの受付機関は独立行政法人 情報処理推進機構(IPA)が務める。IPA セキュリティセンター 情報セキュリティ技術ラボラトリー長 福澤淳二氏は,2004年7月から2005年3月までにソフトウエア製品に関する脆弱性発見の届出が44件,Webアプリケーションに関する脆弱性発見の届出が211件,合計255件の届出があったなどの実績を報告し「ある程度の成果が得られた」との見方を示した(脆弱性関連情報の届出状況)。

 JPCERT/CCは調整機関として,ソフトウエア製品についてベンダーへの連絡と交渉を担当しているる。JPCERT/CC 情報流通対策グループ 鎌田敬介氏は問題点として,ベンダーによって脆弱性の対応に温度差がある点をあげた。「優先的に対処するベンダーもあるし,他のバグと同じ扱いで報告順に修正するベンダーもある。ベンダーの規模や脆弱性対応経験によっても異なる」(鎌田氏)

 NECのブロードバンド ソリューション企画本部セキュリティ技術エキスパート 宮地利雄氏は,脆弱性の報告を受けて対応するソフトウエア製品ベンダーの立場から報告した。NECでは2004年10月に専任の窓口(Point of Contact)が業務を開始し,2005年4月には社内の脆弱性情報管理システムを整備するなどの取り組みを行っている。宮地氏は「『脆弱性』の概念を社内に理解させる,多数部門にまたがる新しい業務フローの設定といった『対応体制の立上げ』などが製品ベンダーにとっての挑戦となる」と指摘した。

 また「導入技術やモジュールに由来する脆弱性が発見された際,導入元ベンダーと課題認識を共有できるか」,「発見された脆弱性が他社の製品にも共通した脆弱性だった場合,自社顧客を守るべきか,社会的な影響の最小化のために公表すべきか」などが悩ましいと述べた。

 NTTデータ セキュリティビジネスユニット部長 西尾秀一氏はSI事業者の立場から報告。西尾氏は「SI事業者は早期警戒パートナーシップの枠組みの外側にあり,原則として脆弱性情報が公表された後で対応を行う。それでも迅速かつ適切に脆弱性へ対応しなければならない」とSI事業者の置かれた立場を説明した。特に脆弱性対策への費用負担をどうするかという点は,顧客との合意を形成するために正確な事前の説明や契約が必要になる。JISAとJEITAは「SI事業者における脆弱性対応に関する社内体制整備および手順策定のためのガイダンス」を整備しており,5月中の公開を予定している。

 また脆弱性の公表に積極的でない顧客もいるが「顧客に誤った判断をさせないために,コンプライアンスの観点から,公表せずに後で公になった場合どういうダメージが発生しうるか正確に説明する必要がある」(西尾氏)と指摘した。

 ディスカッションではモデレータからの「現在,ソフトウエアの脆弱性は製品名や発見者が公表されるが,Webサイトの脆弱性については公表されていない。発見者のモチベーションを高め,他のサイト運営者が参考にできるようサイトが特定できない形で公表する方法もあるのではないか」との提案に,IPAの福澤氏は「個人的にはその可能性はあると思う」との見方を示した。

 またサイト運営者や企業経営者などにはまだまだ早期警戒パートナーシップや脆弱性情報ポータル・サイトであるjvn.jpの知名度は十分ではなく,制度の実効性を高めるために周知する必要があるとの指摘がなされた。

(高橋 信頼=IT Pro)