情報セキュリティコンサルティング
Information Security Consulting

セキュリティ上問題があるウェブサイトや、ソフトウェア製品を見つけてしまった場合、あなたならどうしますか？

ソフトウェアやウェブサイトにおける脆弱性情報を収集・共有し、その事実や対策を周知・普及する取り組みがあります。それは、「脆弱性関連情報の届出制度」や「情報セキュリティ早期警戒パートナーシップ」と呼ばれるもので、「ソフトウェ製品等の脆弱性関連情報に関する取扱規程」（経済産業省告示）と踏まえて実現されている取り組みです。
今回、IPA（独立行政法人情報処理推進機構）とJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）から公開された「情報セキュリティ早期警戒パートナーシップガイドライン」は、このような情報の取り扱いや関係者に推奨する行為を取りまとめたものです。

情報セキュリティ早期警戒パートナーシップガイドライン
　https://www.ipa.go.jp/security/ciadr/partnership_guide.html

◆2019年版のダウンロード先

　　IPA
　　　https://www.ipa.go.jp/files/000073901.pdf

　　JPCERT/CC（IPAのものと同じものです。）
　　　https://www.jpcert.or.jp/vh/partnership_guideline2019.pdf

　　概要日本語版
　　　https://www.ipa.go.jp/files/000059695.pdf

ガイドラインは、パートナーシップの取り組み運用が開始された2004年に作成され、ほぼ毎年見直しがなされています。今回の改訂で、調整不能案件の一覧への掲載、公表手続きの改善に向けた検討結果の反映、法的課題の整理等が行われています。

なお、ガイドラインの想定読者は、「ソフトウェアやウェブアプリケーションに脆弱性を発見した方」、「自組織が扱うソフトウェア製品の脆弱性について連絡を受けた方」、「自組織のウェブアプリケーションの脆弱性について連絡を受けた方」とされていますので、一利用者であるエンドユーザーも含まれます。それぞれの立場で、どのような対応を取らなければならないか、については、IPAで公開されている「概要日本語版」の資料が簡潔で見やすいと思いますので、併せてご確認ください。

脆弱性情報が届出により共有されることで、同じ利用状況にある方たちにも注意を促すことにつながり、利用者全体のセキュリティ意識の底上げになることが見込まれます。また、自分たちだけでは気付けなかったことを互いに知って、助け合うことができる、そういうセキュリティ”互助"・"共助"活動が広がっていくことが期待されています。

自分たちでできることについては、もちろん自分たちで"自助"的に取り組まなければなりませんが、その取り組みレベルは、当然、組織により違いがあるでしょう。だからこそ、危険について発見した人が速やかにアラートを上げて、対策を講じてもらえるように働きかける仕組みが大事です。何が安全か何が危険か、一緒に考えさせていただくことができればと思う次第です。（吉）