パスワードを忘れた? アカウント作成
7892 story

経産省、ソフトとウェブサイトの欠陥修正に「45日ルール」 79

ストーリー by Oliver
お上パワー 部門より

ソフトウェアやウェブサイトのセキュリティホールなどの重大なバグの連絡にメーカ/運営者が開き直り、長期にわたって個人情報流出やアカウント奪取などのリスクが放置されたまま、利用者が危険にさらされている現状に業を煮やしてか、経済産業省がついに動いた。日経IT Business & Newsの伝えるところによると、欠陥がみつかった場合、45日以内にパッチ類を準備して公表するよう開発者に求める「45日ルール」を7月から実施するそうだ。いまのところ、経産省のサイトには報道発表などの資料がまだなく、どのような枠組でこのルールが実装されるのか、詳細は不明だ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • と、考える人もいるのではないかなぁと思ったので、参考までに一応書かせて頂きやす。

    無償のソフトウェアを製作されている方にとって、セキュリティー上の欠陥に対する法的責任を負わされるこの法律は大きなリスクとなりうるのではないでしょうか?

    もちろん、可能な限り負うべきリスクであるとは思いますが、仮に何らかの事情によって対応が間に合わなかった場合や、既に開発を終了していたりする場合 (後者は特に、開発環境そのものを手放している場合というのも考えられなくは無いでしょう)、何らかの法的制裁が彼等に与えられるものであるならば、自由なソフトウェアを安心して公開しようとする土壌が、若干損なわれてしまいそうな気はします。

    罰則等についての情報がまだ公表されていないので、なんとも評価はしきれないところではありますが (対応期限切れの場合、対応が完了するまでの間、頒布ソフトウェアなら販売および公開を中止、Web サイトなら一時閉鎖、という処置が強請される、といったものであるならば問題はないと思うんですけどね)。

    Web 管理者に対する適用としては十分有効なルールであると思いますので (これも趣味レベルの個人サイトとかになってくると微妙なところですが)、そういう意味では評価に値する施行であると思います。

    --
    むらちより/あい/をこめて。
    • ポイントは「責任の所在」なんでしょうね。

      使用許諾としての免責事項としてきちんと書いておく必要があるのではないかと。
      また、逆に免責事項がある場合は免責するという法的 agreement が必要ですが。

      でもそうすると逆に有償プロダクトでも免責事項さえあればいいのか、ということになるのはちょっとやですね。

      一番望ましい解は「無償プロダクトの場合は免責事項をつけることが出来る」なんでしょうか。
      (シェアウェアは対価を取っている以上何らかの責任は発生するでしょうし。実際の損倍でどうなるかはその対価と瑕疵に応じてケースごとに裁判で結論するってことになるのかな。)


      #まぁ、結局は『選ぶ側の責任』もそれなりにあるよってぇわけで。
      親コメント
    • by Anonymous Coward on 2004年04月06日 1時01分 (#527045)
      規定期間内に対応できない場合、当該ソフトウェアを「販売停止」あるいは「配布禁止」とするような罰則を定めると良いと思います。
      大抵の無償ソフトウェアならば、販売停止命令を喰らってもダメージは小さいと思いますし。
      配布禁止も辛いといえば辛いけど、そのぐらいが妥当なんじゃないかなあと思います。
      親コメント
  • ところで (スコア:1, 興味深い)

    by Anonymous Coward on 2004年04月05日 16時17分 (#526704)
    通報者の身の安全は保障してくれるのかな?
    hidden フィールド書き換えただけで刑法犯にされかねないからね。
    下手したら損害賠償まで食らうし。
    よっぽどシッカリ運用できるものじゃないと形骸化するのは目に見えてるよ。
    • by QwertyZZZ (8195) on 2004年04月06日 15時04分 (#527389) 日記
      >hidden フィールド書き換えただけで刑法犯にされかねないからね。

      詐欺以外のどんな目的の為にそれを行おうとするのか、そちらにちょっと興味があります。

      なんとなく、スーパーのワインの値札誤魔化して捕まったヤツを思い出したが。

      親コメント
    • by Anonymous Coward
      大丈夫。必ず形骸化するから。
      誰も通報しないし、通報しても何もしてくれないし、修正する事もない。
      しつこいと逮捕されるだけ。
      形骸化の心配をするなんてこの国の政府に対して幻想持ちすぎ。
    • by Anonymous Coward
      > hidden フィールド書き換えただけで刑法犯

      hidden フィールド書き換えといえば、
      単価を書き換える手口が典型的ですが、

      そうなることをわかっていて、
      本当の価格より安い金額で物を買ったりすると、

      電子計算機使用詐欺罪にとわれますよ。
      • Re:ところで (スコア:1, 興味深い)

        by Anonymous Coward on 2004年04月05日 19時22分 (#526868)
        hiddenフィールドに単価がはいっているようなサイトって・・・、人間用
        には必要ですが、実際の計算に使う単価はサーバ側にあればよいのでは。
        そんなところで買い物はしたくないなぁ。他にも色々な問題がありそうです。
        親コメント
        • Re:ところで (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2004年04月05日 21時56分 (#526962)
          本来はhiddenフィールドに単価が入っている時点で通報に値するはず。 でも俺は通報なんかしないで2chに書くけどね。
          親コメント
  • by Anonymous Coward on 2004年04月05日 16時27分 (#526718)
    例えばMicrosoftのIISに原因があるとわかっても、
    Microsoftが45日以内に対応しない場合どうなるの?

    Microsoftが40日で対応したとしてそれを使用するSIerは
    5日間で対応しろってこと?
  • by jtakano (13491) on 2004年04月05日 16時37分 (#526730)
    日経なんで話半分としても、
    45日は長いなぁ。
    対策は45日としても、公表までは1週間だろう。
    対策と公表はいっしょでなくてもいいんでしょ。

    自動回転ドアだって対策してないものは、
    いまは使用してないでしょ。

    所詮、役所の時計でものを考えているということ?

    最低限のガイドラインとしてのことだろうけど、
    結局それが最善のガイドラインにすり返られてしまうのだろう。
    • by j3259 (7093) on 2004年04月05日 16時48分 (#526741) ホームページ 日記
      ゼロデイアタック [e-words.jp](0-day attack) と言って欠陥の公表直後(つまり、対策がまだほとんど出回っていない状態)を狙うのは攻撃者の常套だったりします。

      OS とかサーバのパッチの場合は、パッチを入れることで新たにバグを作りこむ事がないように「対策」の方も慎重にする必要があるので、45 日というのも頷ける数字だと思います。

      親コメント
      • あなたが示したリンク先にもありますが、「ゼロデイアタック」は、公表される「前」に行われる攻撃です。「直後」ではありません。ゼロデイアタックは入念な解析が必要なので、これを用いた攻撃はそんなにありません。(ばれてないだけかも)

        公表「直後」に行われる攻撃が常套というのを否定するものではありません。(念のため)
        親コメント
        • 元コメント
          対策は45日としても、公表までは1週間だろう。 対策と公表はいっしょでなくてもいいんでしょ。
          に対する返答として、ゼロデイアタックを示しました。「公表」をどう解釈するかという問題だと思うけど、これはゼロデイの場合はパッチの公表の「前」ということじゃないでしょうか。 常識的に、欠陥の公表はパッチの公表と同時に行うものだと思うんで。
          親コメント
          • >常識的に、欠陥の公表はパッチの公表と同時に行うものだと思うんで。

            そーなんですか??
            危険とわかっていても、その修正方法が見つかるまでは内緒にしておくのが常識的なんですか?
            修正できなくても、対処方法とともに発表すれば良いかと思うのですが。
            使用停止とか、いろいろ対処はできますよね。
            「パッチ」の意味を勘違いしていたらごめんなさい。

            #とある伝染病の治療方法が見つかるまでは内緒にしておくとか??
            --
            タブレット中毒者。
            親コメント
            • by GSone (8994) on 2004年04月06日 11時01分 (#527202) 日記
              ユーザーから脆弱性を公開されてしまうとか
              もしくはライバル会社が公開してしまうとか
              どこぞでお祭りが始まるとか
               
              その後必死になって対策を考えている間に、攻撃を受けるのが
              ゼロデイアタックですね
               
              >内緒にしておく
              ネットが発達している今、世界中で誰も気づいていない脆弱性は
              内緒にしておけますが、だれかひとりでも気づいていれば
              内緒にしておくのはほぼ不可能ですね。
              誰も気づいていない脆弱性は公表しなくてあたりまえです。
              知らなければ攻撃できない、受けないですから。
               
              公表っていうから分かりにくいけど、公式文書で通達、のように
              捉えれば分かりやすいかと。
              親コメント
      • 対策もパッチが必要な場合やフィルタで済む場合など
        いろいろなケースがあるので、確かに一律ではないと思うけど
        45日の猶予が必要なケースが一般的なのでしょうか?

        45日待ったとしてもゼロデイアタックは避けられませんよね。
        親コメント
        • バグそのものが突き止められれば、パッチを書く作業はそんなに難しくない場合が多いと思います。ただ、OS の基本的な部分の場合は、そのパッチを当てることで他のプログラムが動かなくなるとか、その他もろもろの影響が出る場合もありうるので、テスト期間が長くなるでしょう。

          ただ、設計そのものがダメだと判断されて、再設計が必要になったりする場合は、時間がかかることもあるでしょう。数ヶ月前に Microsoft から発表された欠陥 [srad.jp]は再設計が必要だったのかは知りませんが、修正に六ヶ月かかっています。

          ゼロデイは欠陥が見つかった直後、対策が発表される前のアタックで、45 日待ってる間に対策が見つかれば避けられます。ちゃんとパッチ当てないと意味無いけど。

          待てども待てども対策してくれないベンダーとか web サイトが多いから、45 日でなんとかしろっていうルールを作ったってことじゃないでしょうか。

          親コメント
    • >45日は長いなぁ。

      安全を考えると早いにこした事は無いのでしょうけど、現実的な作業を考えるとちょいと。

      経産省の認識では、「どんなソフトでも45日あれば対処は可能」って事?
      そもそも確実に守れる納期なんてあれば、デスマーチなんて言葉は無いのだが。

      #今のところ細かい内容は解らないが、「所詮はお役所か」と言われないようなのを頼みたいなぁ。
      #お役所絡みだと、下手すれば担当者まで連絡も来なかったり。

      親コメント
      • by jtakano (13491) on 2004年04月05日 18時42分 (#526838)
        自分で対策することを考えたら時間はほしいけど
        止めることがあたりまえになることが必要だと思う。

        WEBサービスに限って言えば、危険ならサービスを止めましょうよ。
        他人に被害が及ぶ(個人情報がある)なら当然ですよね。

        サーバーでも危険なら止めましょうよ。
        のっとられてから止めるなら、その前に止めましょうよ。

        命よりは軽いことかもしれないけど
        軽視していいことではないと思う。
        親コメント
        • by iso999 (21485) on 2004年04月06日 3時01分 (#527081)
          プログラマ屋じゃないので45日が長いか短いかはわかりませんが
          とりあえず的な対応のにおいがプンプンですね。
          ここ数件の情報漏れはプログラムの問題じゃなくて
          その管理の仕方に問題があったと思いますが…。
          (ホールの存在を知っていながら策を打たないのも問題ですけどね)
          オンラインで収集した個人情報DBに関する管理義務をもっと明確にするのが優先じゃないのか?
          なんのための個人情報保護法なんだか…。

          法律に近い立場の団体程WEB管理がおざなりなのはなんだかなぁ、という気分です。
          親コメント
        • ソフトの対処と考えると、「使用停止」はOKなのかな?

          それがOKであれば、大々的に使われているソフトこそ有利になりそう。

          ってか、WindowsなんかだとMSが「対処完了まで使用禁止にします」と通達して、どれだけの人間が使用を止めるのか?って考えたら、結局無意味っぽいですから。

          ってより、その場合WindowsUpdateも出来なくなるって問題もあるしね。

          Webサービス問題でも実際は問題通告を45日以内に受け取れればラッキー、となりそう。
          保守要員は飽く迄保守要員で、運用責任者でない(停止権限無し)なんてのはザラだし。

          親コメント
    • 回転ドアは単に「使わない」という選択肢があるけど、その建物の鍵に(ピッキングされやすいなどの)防犯上の問題があったとして、その鍵を「使わない」という対策は無いんじゃないかなぁ…

      そりゃ、別のメーカーの製品に変えるという方法はあるけど、その変更のためにある程度の時間は必要だし。
      やはり対策と公表は同時であって欲しい。
    • WebSiteの場合だけど、
      今までは指摘しても無視される事は珍しくなかったわけで、
      「当該サイトの管理者が代わるまで」の時間に比べれば、
      45日なんてあっという間だと思うのですよ。
      役所の時計ではなく、現状の時計でしょう。
  • 例えば、
    ・脆弱性001
       締切り:あと5日
       攻撃されたとの報告はまだ無い
       攻撃されたときの被害はほとんど無い

    ・脆弱性002
       締切り:あと40日
       もうすでにワームがうじゃうじゃしている
       攻撃されたときの被害は深刻

    の2つの脆弱性があったとすると、

    この場合、45日ルールを守るとすれば脆弱性001から対応することになると思うけど、
    ユーザとしては、脆弱性001の締切りを過ぎてもいいから、脆弱性002を1日でも早く対応してほしいと思うのですが。
    --
    1を聞いて0を知れ!
    • by amirex (6995) on 2004年04月05日 20時55分 (#526923)
      こういった場合、現在、最悪のケースで、
      ・脆弱性001…放置
      ・脆弱性002…対処
      となっているので、45日ルールの上では、脆弱性002は、今まで通り対応。
      脆弱性001は、増員してでも対応。
      となるのではないでしょうか。
      親コメント
  • 「それは仕様です。」

    45日以内に使用を変更せよ、ってことになるのかな?
  • 気づけるか (スコア:1, 参考になる)

    by Anonymous Coward on 2004年04月05日 21時19分 (#526937)
    欠陥の連絡があっても、45日以内に気付くこともできないかも。
    あなたも口座も…4メガバンク大甘セキュリティー発覚 [zakzak.co.jp]
  • by Anonymous Coward on 2004年04月06日 12時34分 (#527276)
    あまり議論する意味も無いとも思います。
    記事を一目見た時から、いつもごとく、
    お役人さん方の天下り先を確保するのが目的だと思いましたが。
    自分たちの仕事を増やしたくない為に、個人情報保護法同様に、
    罰則が曖昧ですし。
    こうして意味のない法律が今後増えていくんでしょうね。
  • by Anonymous Coward on 2004年04月05日 16時02分 (#526692)
    http://srad.jp/comments.pl?sid=170992&cid=526532

    このAC氏のタレコミ?
    • by Anonymous Coward
      http://srad.jp/comments.pl?sid=170992&cid=526507

      こっちはスルーですか? そうですか。別にいいんですよ。先にポストしたのにスルーされちゃってちょっと悲しかっただけです。あなたには関係ないですよね。でもね、

      お、いかん、404で鬱になるサーバーさんみたいになってきたぞ。
  • by Anonymous Coward on 2004年04月05日 16時04分 (#526693)
    いま、ACCS のサイトが見えていないのって、Antiny.K の影響?

    そういう外的要因ってのもあるから、こういうルールだけじゃやっぱり足りないんだろうね。

    でも、ないよりはいいんで、一応評価。
  • by Anonymous Coward on 2004年04月05日 17時12分 (#526758)
    「バグの報告はMLやBBSではなく作者宛てのメールにてお願いします。」ってことになりそうね。
  • by Anonymous Coward on 2004年04月05日 17時33分 (#526774)
    3秒ルールというのは地域によって異なるようです。

    うわーいおふとぴおふとぴ!
  • by Anonymous Coward on 2004年04月05日 18時16分 (#526815)
    古いOSはどうなるんでしょうか?
    Win95&98やMacOS9やMacOSX10.1とか・・・

    サポート対象外をうたってる商品には適用されないのかな?
typodupeerror

人生unstable -- あるハッカー

読み込み中...