セキュリティ情報

情報処理推進機構、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂

情報処理推進機構(IPA)およびJPCERT/CCは5月30日、脆弱性情報取扱における関係者の行動基準を示した「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を発表した。これにより、発見された脆弱性の製品開発者と連絡がとれない案件を「連絡不能案件」として脆弱性情報を公表する運用を開始した。

脆弱性が発見された場合、悪用をされることのないよう、対策方法策定・情報の公表までは、厳重に情報を秘匿するなど、適切な情報管理が必要となる。ガイドラインに基づく脆弱性取扱業務では、IPAが発見者から未知の脆弱性の届出を受付けており、調整機関であるJPCERT/CCへ連絡される。しかし、製品の開発者と連絡が取れない場合、この作業を始めることができない。発見された脆弱性の製品開発者と連絡がとれない案件を「連絡不能案件」として公表することにより、製品利用者は製品の利用を止めるという判断や、他の緩和策の実施により、脆弱性による被害回避が可能となることから、今回の運用を開始するという判断に至った。

 その他、今回の改訂では一部の脆弱性情報を一般公表に先立ち、利用者に提供する取組みについて、記載が加えられている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
情報セキュリティ早期警戒パートナーシップガイドライン