セキュリティの
学び場

今回の解説ニュース

情報セキュリティ早期警戒パートナーシップのガイドラインが改訂されています。今回は、情報セキュリティ早期警戒パートナーシップの概要と、一般企業が参考にできるポイントについて説明します。今回のガイドラインは、発見者、IPA及びJPCERT/CC、製品開発者、ウェブサイト運営者等の関係者に推奨する行為がとりまとめられているものです。情報セキュリティ早期警戒パートナーシップは、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。ガイドラインの対象者として、発見者、IPA及びJPCERT/CC、製品開発者、ウェブサイト運営者等の関係者に推奨する行為がとりまとめられています。

情報セキュリティ早期警戒パートナーシップの概要

脆弱性関連情報の適切な流通でウイルスや不正アクセスなどによる被害発生を抑制するために、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しています。
脆弱性修正までの期間が長期化すると、その被害が拡大してしまうことが考えられます。よって、脆弱性を発見した人と、その脆弱性を修正する人が協力して、脆弱性による被害を迅速かつ効率的に防ぐことが求められます。

具体的には、脆弱性の発見者は脆弱性関連情報を届出する際に、製品開発者及びウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、同ガイドラインに則した対応をとることが求められています。

今回の改訂内容は「悪用を示す情報に関する取扱いの整理」「公表判定委員会に係る手続の対象となる連絡不能案件の条件整理」「優先情報提供に関する取扱いの規定改正の反映」が挙げられています。

まず、脆弱性の悪用を示す情報がある場合、製品開発者との協議のうえJVNで記載を実施することとしています。検証ができない脆弱性等の取扱いについても整理されており、検証に掛かるコストを考慮して、適宜公表判定委員会で判定したり、取り扱いを終了したりするということです。また、IPAから実施する優先情報提供に関する規定が追加されており、規定の追加に伴う所要の修正が行われています。

一般企業が参考にできるポイント

今回の改定により、全体としては脆弱性の被害をより効率的に防ぐことが期待できます。

悪用可能性の高い脆弱性情報について迅速な情報共有と対策を行うことで、被害を未然に防ぐことができます。また、検証が困難な脆弱性情報についても適切な取り扱いを行うことで、対策の漏れを防ぎ、効率的な脆弱性対策を推進することができます。優先情報提供の充実により、関係機関は重要度の高い脆弱性情報への迅速な対応が可能となり、被害の拡大を防ぐことができます。

自社製品やサービスを持っている場合、脆弱性が発見された際にガイドラインに基づいてIPAに報告することで、迅速かつ円滑に関係機関へ情報を共有し、対策を進めることができます。また、製品やサービスを調達する場合も、IPAの「脆弱性対策状況ポータル」などで脆弱性情報を確認することで、セキュリティリスクを事前に評価することができます。

ガイドラインにも書かれている通り、脆弱性関連情報を適切に流通させることが、その被害を防ぐことにつながることを理解して、日々の脆弱性対応に活かしてください。