ソフトウェアの脆弱性に関する情報、IPAが取り扱いルール策定

[RBB Today]

　情報処理推進機構（IPA）は、「情報システム等の脆弱性情報の取扱いに関する研究会」の報告書をまとめ発表した。

　これまでソフトウェアの脆弱性に関する情報の取り扱いについては、指針やガイドラインがなく、報告の遅れや被害の拡大につながっていた。そのためIPAでは「情報システム等の脆弱性情報の取り扱いに関する研究会」を設置し、脆弱性が発見されてから報告、評価や分析、公表における一連の流れについてガイドラインを策定していた。

　今回、発表された報告書では、ソフトウェアの脆弱性に関する情報はIPAに届けることとしている。なお、現在IPAはウイルスやコンピュータの不正アクセスに関する情報の届け出先になっているため、これにソフトウェアの脆弱性が追加されることになる。

　このようにしてIPAに寄せられた情報は、JPCERT/CCとともに検証し開発者に通達。また、脆弱性によっては複数の製品に影響が及ぶことがあるため、各開発者が対策を講じたり、脆弱性を公表する時期の調整も行う。

　なお、具体的な取り扱いルールの策定を進めており、7月からの開始をめどに体制を整えるとしている。