経産省、ソフトとウェブサイトの欠陥修正に「45日ルール」 79
ストーリー by Oliver
お上パワー 部門より
お上パワー 部門より
ソフトウェアやウェブサイトのセキュリティホールなどの重大なバグの連絡にメーカ/運営者が開き直り、長期にわたって個人情報流出やアカウント奪取などのリスクが放置されたまま、利用者が危険にさらされている現状に業を煮やしてか、経済産業省がついに動いた。日経IT Business & Newsの伝えるところによると、欠陥がみつかった場合、45日以内にパッチ類を準備して公表するよう開発者に求める「45日ルール」を7月から実施するそうだ。いまのところ、経産省のサイトには報道発表などの資料がまだなく、どのような枠組でこのルールが実装されるのか、詳細は不明だ。
無償ソフトウェアの開発者には適用して欲しくない (スコア:2, 興味深い)
と、考える人もいるのではないかなぁと思ったので、参考までに一応書かせて頂きやす。
無償のソフトウェアを製作されている方にとって、セキュリティー上の欠陥に対する法的責任を負わされるこの法律は大きなリスクとなりうるのではないでしょうか?
もちろん、可能な限り負うべきリスクであるとは思いますが、仮に何らかの事情によって対応が間に合わなかった場合や、既に開発を終了していたりする場合 (後者は特に、開発環境そのものを手放している場合というのも考えられなくは無いでしょう)、何らかの法的制裁が彼等に与えられるものであるならば、自由なソフトウェアを安心して公開しようとする土壌が、若干損なわれてしまいそうな気はします。
罰則等についての情報がまだ公表されていないので、なんとも評価はしきれないところではありますが (対応期限切れの場合、対応が完了するまでの間、頒布ソフトウェアなら販売および公開を中止、Web サイトなら一時閉鎖、という処置が強請される、といったものであるならば問題はないと思うんですけどね)。
Web 管理者に対する適用としては十分有効なルールであると思いますので (これも趣味レベルの個人サイトとかになってくると微妙なところですが)、そういう意味では評価に値する施行であると思います。
むらちより/あい/をこめて。
Re:無償ソフトウェアの開発者には適用して欲しくない (スコア:2)
使用許諾としての免責事項としてきちんと書いておく必要があるのではないかと。
また、逆に免責事項がある場合は免責するという法的 agreement が必要ですが。
でもそうすると逆に有償プロダクトでも免責事項さえあればいいのか、ということになるのはちょっとやですね。
一番望ましい解は「無償プロダクトの場合は免責事項をつけることが出来る」なんでしょうか。
(シェアウェアは対価を取っている以上何らかの責任は発生するでしょうし。実際の損倍でどうなるかはその対価と瑕疵に応じてケースごとに裁判で結論するってことになるのかな。)
#まぁ、結局は『選ぶ側の責任』もそれなりにあるよってぇわけで。
Re:無償ソフトウェアの開発者には適用して欲しくない (スコア:1, 興味深い)
大抵の無償ソフトウェアならば、販売停止命令を喰らってもダメージは小さいと思いますし。
配布禁止も辛いといえば辛いけど、そのぐらいが妥当なんじゃないかなあと思います。
ところで (スコア:1, 興味深い)
hidden フィールド書き換えただけで刑法犯にされかねないからね。
下手したら損害賠償まで食らうし。
よっぽどシッカリ運用できるものじゃないと形骸化するのは目に見えてるよ。
Re:ところで (スコア:1)
詐欺以外のどんな目的の為にそれを行おうとするのか、そちらにちょっと興味があります。
なんとなく、スーパーのワインの値札誤魔化して捕まったヤツを思い出したが。
Re:ところで (スコア:0)
誰も通報しないし、通報しても何もしてくれないし、修正する事もない。
しつこいと逮捕されるだけ。
形骸化の心配をするなんてこの国の政府に対して幻想持ちすぎ。
Re:ところで (スコア:0)
hidden フィールド書き換えといえば、
単価を書き換える手口が典型的ですが、
そうなることをわかっていて、
本当の価格より安い金額で物を買ったりすると、
電子計算機使用詐欺罪にとわれますよ。
Re:ところで (スコア:1, 興味深い)
には必要ですが、実際の計算に使う単価はサーバ側にあればよいのでは。
そんなところで買い物はしたくないなぁ。他にも色々な問題がありそうです。
Re:ところで (スコア:1, おもしろおかしい)
原因がソフトウェアメーカーにある場合 (スコア:1, 興味深い)
Microsoftが45日以内に対応しない場合どうなるの?
Microsoftが40日で対応したとしてそれを使用するSIerは
5日間で対応しろってこと?
Re:原因がソフトウェアメーカーにある場合 (スコア:1)
もう少し考えられているんじゃないでしょうか。
# と、希望を持ってみる。
Re:原因がソフトウェアメーカーにある場合 (スコア:0)
何も特定の会社・ソフトウェアの名前ださんでも。。。
Re:原因がソフトウェアメーカーにある場合 (スコア:0)
45日-(Apacheへの移行に必要な日数)待って、
その間にMSが対応しなければIISから乗り換え。
Re:原因がソフトウェアメーカーにある場合 (スコア:0)
サービス休止のお知らせ (スコア:1)
時間がかかって対処できないっておもうなら
直るまで休止するって手段もありかと
架空請求とかで顧客に迷惑かけ続けるよりは
サービス休止の方がたぶんマシでしょう
Re:原因がソフトウェアメーカーにある場合 (スコア:1)
Java System Active Server Page [chilisoft.com]てな選択もあります。
# どの程度動作するかは知りません。あしからず。
Re:原因がソフトウェアメーカーにある場合 (スコア:0)
出なければ乗り換え。とか。
#45日こえたりして。
無いよりましだが・・・ (スコア:1)
45日は長いなぁ。
対策は45日としても、公表までは1週間だろう。
対策と公表はいっしょでなくてもいいんでしょ。
自動回転ドアだって対策してないものは、
いまは使用してないでしょ。
所詮、役所の時計でものを考えているということ?
最低限のガイドラインとしてのことだろうけど、
結局それが最善のガイドラインにすり返られてしまうのだろう。
Re:無いよりましだが・・・ (スコア:2, 参考になる)
OS とかサーバのパッチの場合は、パッチを入れることで新たにバグを作りこむ事がないように「対策」の方も慎重にする必要があるので、45 日というのも頷ける数字だと思います。
「ゼロデイアタック」の説明が間違っています (スコア:1)
公表「直後」に行われる攻撃が常套というのを否定するものではありません。(念のため)
Re:「ゼロデイアタック」の説明が間違っています (スコア:1)
純粋に疑問ですが (スコア:1)
そーなんですか??
危険とわかっていても、その修正方法が見つかるまでは内緒にしておくのが常識的なんですか?
修正できなくても、対処方法とともに発表すれば良いかと思うのですが。
使用停止とか、いろいろ対処はできますよね。
「パッチ」の意味を勘違いしていたらごめんなさい。
#とある伝染病の治療方法が見つかるまでは内緒にしておくとか??
タブレット中毒者。
Re:純粋に疑問ですが (スコア:1)
もしくはライバル会社が公開してしまうとか
どこぞでお祭りが始まるとか
その後必死になって対策を考えている間に、攻撃を受けるのが
ゼロデイアタックですね
>内緒にしておく
ネットが発達している今、世界中で誰も気づいていない脆弱性は
内緒にしておけますが、だれかひとりでも気づいていれば
内緒にしておくのはほぼ不可能ですね。
誰も気づいていない脆弱性は公表しなくてあたりまえです。
知らなければ攻撃できない、受けないですから。
公表っていうから分かりにくいけど、公式文書で通達、のように
捉えれば分かりやすいかと。
Re:無いよりましだが・・・ (スコア:1)
いろいろなケースがあるので、確かに一律ではないと思うけど
45日の猶予が必要なケースが一般的なのでしょうか?
45日待ったとしてもゼロデイアタックは避けられませんよね。
Re:無いよりましだが・・・ (スコア:1)
ただ、設計そのものがダメだと判断されて、再設計が必要になったりする場合は、時間がかかることもあるでしょう。数ヶ月前に Microsoft から発表された欠陥 [srad.jp]は再設計が必要だったのかは知りませんが、修正に六ヶ月かかっています。
ゼロデイは欠陥が見つかった直後、対策が発表される前のアタックで、45 日待ってる間に対策が見つかれば避けられます。ちゃんとパッチ当てないと意味無いけど。
待てども待てども対策してくれないベンダーとか web サイトが多いから、45 日でなんとかしろっていうルールを作ったってことじゃないでしょうか。
Re:無いよりましだが・・・ (スコア:1)
安全を考えると早いにこした事は無いのでしょうけど、現実的な作業を考えるとちょいと。
経産省の認識では、「どんなソフトでも45日あれば対処は可能」って事?
そもそも確実に守れる納期なんてあれば、デスマーチなんて言葉は無いのだが。
#今のところ細かい内容は解らないが、「所詮はお役所か」と言われないようなのを頼みたいなぁ。
#お役所絡みだと、下手すれば担当者まで連絡も来なかったり。
Re:無いよりましだが・・・ (スコア:2, 参考になる)
止めることがあたりまえになることが必要だと思う。
WEBサービスに限って言えば、危険ならサービスを止めましょうよ。
他人に被害が及ぶ(個人情報がある)なら当然ですよね。
サーバーでも危険なら止めましょうよ。
のっとられてから止めるなら、その前に止めましょうよ。
命よりは軽いことかもしれないけど
軽視していいことではないと思う。
Re:無いよりましだが・・・ (スコア:2, すばらしい洞察)
とりあえず的な対応のにおいがプンプンですね。
ここ数件の情報漏れはプログラムの問題じゃなくて
その管理の仕方に問題があったと思いますが…。
(ホールの存在を知っていながら策を打たないのも問題ですけどね)
オンラインで収集した個人情報DBに関する管理義務をもっと明確にするのが優先じゃないのか?
なんのための個人情報保護法なんだか…。
法律に近い立場の団体程WEB管理がおざなりなのはなんだかなぁ、という気分です。
Re:無いよりましだが・・・ (スコア:1)
それがOKであれば、大々的に使われているソフトこそ有利になりそう。
ってか、WindowsなんかだとMSが「対処完了まで使用禁止にします」と通達して、どれだけの人間が使用を止めるのか?って考えたら、結局無意味っぽいですから。
ってより、その場合WindowsUpdateも出来なくなるって問題もあるしね。
Webサービス問題でも実際は問題通告を45日以内に受け取れればラッキー、となりそう。
保守要員は飽く迄保守要員で、運用責任者でない(停止権限無し)なんてのはザラだし。
Re:無いよりましだが・・・ (スコア:0)
そりゃ、別のメーカーの製品に変えるという方法はあるけど、その変更のためにある程度の時間は必要だし。
やはり対策と公表は同時であって欲しい。
Re:無いよりましだが・・・ (スコア:0)
今までは指摘しても無視される事は珍しくなかったわけで、
「当該サイトの管理者が代わるまで」の時間に比べれば、
45日なんてあっという間だと思うのですよ。
役所の時計ではなく、現状の時計でしょう。
どんな脆弱性も45日か? (スコア:1)
・脆弱性001
締切り:あと5日
攻撃されたとの報告はまだ無い
攻撃されたときの被害はほとんど無い
・脆弱性002
締切り:あと40日
もうすでにワームがうじゃうじゃしている
攻撃されたときの被害は深刻
の2つの脆弱性があったとすると、
この場合、45日ルールを守るとすれば脆弱性001から対応することになると思うけど、
ユーザとしては、脆弱性001の締切りを過ぎてもいいから、脆弱性002を1日でも早く対応してほしいと思うのですが。
1を聞いて0を知れ!
Re:どんな脆弱性も45日か? (スコア:1)
・脆弱性001…放置
・脆弱性002…対処
となっているので、45日ルールの上では、脆弱性002は、今まで通り対応。
脆弱性001は、増員してでも対応。
となるのではないでしょうか。
この常套句は通用するのだろうか? (スコア:1)
45日以内に使用を変更せよ、ってことになるのかな?
訂正 (スコア:1)
↓
○ 45日以内に仕様を変更
要するにこういう事でしょ? (スコア:1)
脆弱性が見受けられ危険なので、危険を取り除け。
気づけるか (スコア:1, 参考になる)
あなたも口座も…4メガバンク大甘セキュリティー発覚 [zakzak.co.jp]
本当の目的は、天下り先の確保でしょ? (スコア:1, 興味深い)
記事を一目見た時から、いつもごとく、
お役人さん方の天下り先を確保するのが目的だと思いましたが。
自分たちの仕事を増やしたくない為に、個人情報保護法同様に、
罰則が曖昧ですし。
こうして意味のない法律が今後増えていくんでしょうね。
Re:本当の目的は、天下り先の確保でしょ? (スコア:1)
これかな? (スコア:0)
このAC氏のタレコミ?
Re:これかな? (スコア:0)
こっちはスルーですか? そうですか。別にいいんですよ。先にポストしたのにスルーされちゃってちょっと悲しかっただけです。あなたには関係ないですよね。でもね、
お、いかん、404で鬱になるサーバーさんみたいになってきたぞ。
ACCSのサイト (スコア:0)
そういう外的要因ってのもあるから、こういうルールだけじゃやっぱり足りないんだろうね。
でも、ないよりはいいんで、一応評価。
ファームウェアは (スコア:0)
ELECOMのルータのようにLinuxを使っていると、セキュリティーホールは大量にあると思うのですが。
45日どころかずっと直らない場合もあります。 保証期間の6ヶ月が切れたら、サポートしないとかかな。
そういうハードはたくさんあります。
[srad.jp]
「欠陥がみつかった場合」 (スコア:0)
どうやら (スコア:0)
うわーいおふとぴおふとぴ!
古いOSは? (スコア:0)
Win95&98やMacOS9やMacOSX10.1とか・・・
サポート対象外をうたってる商品には適用されないのかな?
Re:古いOSは? (スコア:0)
Re:古いOSは? (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:45日の由来 (スコア:1)
Re:ここは高尚なスラッシュドットですね (スコア:1)
「一定期間」とは書いてあるが、「45日」とはどこにも書いてありませんな。
ソース [ryukoku.ac.jp]