IPAとJPCERT/CC、情報セキュリティ早期警戒パートナーシップガイドラインを改訂
情報セキュリティ早期警戒パートナーシップガイドラインの改訂について
独立行政法人 情報処理推進機構(東京都文京区、理事長:藤原 武平太、略称:IPA)および有限責任中間法人JPCERTコーディネーションセンター(東京都千代田区、代表理事:歌代 和正、略称:JPCERT/CC)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、2007年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。
URL:http://www.ipa.go.jp/security/ciadr/partnership_guide.html
URL:http://www.jpcert.or.jp/vh/#guideline
「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られた枠組みです。
IPA、JPCERT/CC、社団法人 電子情報技術産業協会(略称:JEITA)、社団法人 コンピュータソフトウェア協会(略称:CSAJ)、社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用してきました。
この結果、2004年7月の運用開始から2007年3月末までにソフトウェア製品及びウェブアプリケーションの脆弱性に関する届出が1,299件に達し、制度としても着実に認知され、官民における情報セキュリティ対策に関する情報共有・連絡体制の強化が推進されてきました。
その一方で、攻撃の兆候や被害の影響が見え難くIT利用者や管理者が気付き難い脅威がさらに増加する傾向が強まったとの指摘もあり、IT業界やユーザ企業をとりまく環境が変化する中、情報セキュリティ早期警戒パートナーシップが果たすべき役割は、これまで以上に重要になっています。
そこで「情報システム等の脆弱性情報の取扱いに関する研究会」では、2年半にわたる運用実績を基盤として、さらなる一歩を踏み出すべく、このガイドラインに関して、日頃の運用から浮かび上がった問題点・課題を整理し、今後の対応についての方向性や引き続き検討すべき事項について、議論を重ねて参りました。
・「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」
URL:http://www.ipa.go.jp/security/fy18/reports/vuln_handling/index.html
この検討結果を踏まえ、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。今回の改訂では、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順を付録5として追記し、また重要インフラに対する優先的な情報提供を追記するなどの変更を行いました。
特に、ガイドラインに追記した付録5は、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル-情報セキュリティ早期警戒パートナーシップガイドライン 付録5抜粋編-」としても用意しました。
製品開発者やウェブサイト運営者、脆弱性の発見者などが、脆弱性関連情報の取扱いに際し、本ガイドラインに則した対応をとられることを期待しています。
■資料のダウンロード
http://www.ipa.go.jp/security/ciadr/partnership_guide.html
http://www.jpcert.or.jp/vh/#guideline
・情報セキュリティ早期警戒パートナーシップガイドライン
・ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル
-情報セキュリティ早期警戒パートナーシップガイドライン 付録5抜粋編-
・ガイドラインの変更点