パスワードを忘れた? アカウント作成
8527 story

経産省のソフトウェア脆弱性報告基準が施行、運用が始まる 42

ストーリー by Oliver
すべてを統べる窓口 部門より

snowy曰く、"窓の杜に上がった記事によると、経済産業省はソフトウェアやWebアプリケーションの脆弱性の届け出と検証などに関する取り扱い基準を定め、8日から施行すると発表した。対象となるものは国内のソフトウェアと国内向けのWebアプリケーションサービス。 仕組みとしては、IPAが届け出を受け付け、公表とデータベース化を行い、JPCERT/CCが検証した上で開発者へ連絡する。IPAに届け出に関する専用のページができている。なお、JPCERT/CCでは主要都市で説明会を行う。
これで、少なくとも、国内の環境に関しては制度が整いつつあるが、最終的には世界的な枠組みができるのが望ましいとたれこみ子は思う。関連: 経済産業省が募集したパブリックコメント"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by parsley (5772) on 2004年07月08日 16時30分 (#585447) 日記
    「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号)
    ま~だ~?(AA略)
    とか言いたくなります。45日以内とは言わず、官報にはもう載っているんでしょうけれど。
    --
    Copyright (c) 2001-2014 Parsley, All rights reserved.
    • by parsley (5772) on 2004年07月08日 16時35分 (#585452) 日記
      7月7日付けの官報の「号外」(148号)に掲載されておりました。URLは示せないので、官報探してみてください。
      --
      Copyright (c) 2001-2014 Parsley, All rights reserved.
      親コメント
      • by mirz (21166) on 2004年07月08日 18時52分 (#585555) 日記
        これですな。 [npb.go.jp]
        (リンク先は目次。告示内容はPDF)
        基準を定めた件、ならびにその受付機関&調整機関が記載されてます。
        --

        /*-+/*-+/*-+/*-+/*-+/
        Allez! Allez! Allez!
        親コメント
        • すみません。そして、ありがとうございます。目次だけでも提示しておけばよかったんですね。

          でも1週間で消えてしまうってのが、国のやることかよって気分が満載なんです。(官報売る人たちのこともあるでしょうけれど)

          # スラドの話題には寿命が丁度いいかもしれませんが
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.
          親コメント
          • by basidium (22136) on 2004年07月09日 1時59分 (#585731)

            オフトピですけど.

            でも1週間で消えてしまうってのが、国のやることかよって気分が満載なんです。(官報売る人たちのこともあるでしょうけれど)

            まったくです.というか,税金で作られたデータを「売る」というセンスがわかりません.二重取りじゃないのか? そりゃ手数料くらいは払ってもいいけどさ.図書館? うーん,遠くてなかなか行けない地域も多いんですがねえ.

            # このへん,数値地図(CD-ROM 1枚7500円也)を私費で買う羽目になった
            # 恨みが入ってるのかもしれません.
            ## え,そのデータはカシミールの解説本に入ってる?
            ## 当時はまだ出てなかったのよ……

            ちなみに,以前,仕事で必要になってアメリカの国立研究機関の出している報告書を取り寄せたことがあります.ハードカバーではありませんが,A4変形版100ページくらいの冊子が,送料も含めて無料でした(今はPDFで公開されてます).俺はアメリカに税金は払ってないのになあ.

            # アメリカって国はあんまり好きじゃないけど,
            # こういうときは,なんというか,奥深い国だなあと思いますね.
            # 相手が研究機関だったということもあるのかもしれませんが.

            親コメント
            • 同意ありがとうございます。あまり煽るつもりはなかったのですが。「地場」で出回る「べき」データに手数料以外の金銭を吹っかけるのが変な時代に突入した…ということがわかっていただけてありがたかったです。

              # それが、アメリカが先、とかいうことは別問題として
              ## 元コメントの意図を解説しないとがつがつ言われそう
              ### がつがつ言ってください
              --
              Copyright (c) 2001-2014 Parsley, All rights reserved.
              親コメント
          • 月額2000円ぐらい払えば、ネットで見れますよ。
            紙で買った方が安いけど。
            というか、図書館に行こう。
  • で、結局 (スコア:3, おもしろおかしい)

    by kacchan6 (19477) on 2004年07月08日 17時40分 (#585505)
    サーバの脆弱性を突かれ、報告者の個人情報漏洩しそうな予感
  • by Anonymous Coward on 2004年07月08日 23時14分 (#585659)
    それで発見者が報告した結果、タイーホされないという
    保証ってどうなったんだろう?いくら発見者の情報を
    機密扱いにするとはいえ、令状の前では無意味だろうし。

    例えば脆弱性を「悪意のある人が悪意のある方法で見つける
    もの」
    [impress.co.jp]と定義してるような会社の製品について報告した場合、
    「報告者は悪意を持ってるので威力業務妨害だ」と主張するかも。
    それに警察が飛びついたりすると・・・ガクガクブルブル(AA略)
    • by Anonymous Coward on 2004年07月09日 4時05分 (#585748)
      脆弱性を「悪意のある人が悪意のある方法で見つけるもの」 [impress.co.jp] と定義してるような会社
      同社執行役で、2月よりチーフセキュリティアドバイザー(以下、CSA)に就任した東 貴彦氏は、脆弱性について「これまではわかりにくい言葉でその中味が伝わっていなかったと反省している」と述べ、「設計と違った機能や性能を指す、いわゆる“欠陥”ではなく、設計の時点でわからなかった弱点を、製品出荷後に悪意のある人が悪意のある方法で見つけるもの」とあらためて定義。
      うへえ。こんな会社だったとは・・・。
      これまでは英語のみだった脆弱性報告窓口の日本語版の開設については、「国内のセキュリティ調査機関や専門家との緊密に関係して、国内の調査対応がすばやく行える。また米国のMicrosoft Security Responce Center(MSRC)との連携も緊密になる」と述べた。受付は24時間行われ、「日本時間でコミュニケーションできるほか、英語で国外にレポートする際の抵抗を軽減するのも、メリットになる」とした。
      というのは、東貴彦氏の定義では
      「国内のセキュリティ調査機関や悪意のある人との緊密に関係して、国内の悪意のある方法への対応がすばやく行える。また米国のMicrosoft Security Responce Center(MSRC)との連携も緊密になる」と述べた。悪意のある人からの受付は24時間行われ、「悪意のある人とは日本時間でコミュニケーションできるほか、悪意のある人が英語で国外にレポートする際の抵抗を軽減するのも、メリットになる」とした。
      という意味なのでしょうな。
      親コメント
  • 仕組みとしては、IPAが届け出を受け付け、公表とデータベース化を行い、JPCERT/CCが検証した上で開発者へ連絡する。

    検証→開発者へ連絡よりも先に、情報を公表しちゃうの? 重大なセキュリティーホールだったりする場合、修正が確認されるよりも先に公表しちゃうのはマズくないですか?

    --
    むらちより/あい/をこめて。
    • いかん、最近ちゃんと調べてから書く癖がなくなってきている。気を付けなければ。。。

      IPA のサイトによる 説明 [ipa.go.jp] において、脆弱性関連情報の取扱いプロセス [ipa.go.jp] がきちんと明示されています。これによると、届出の受理 → JPCERT/CC を通して開発者へ通知 → 脆弱性への対応 → 情報の公表、の順になっているようです。当たり前ですね (^_^;

      --
      むらちより/あい/をこめて。
      親コメント
    • Re:公表が先なの? (スコア:2, 参考になる)

      by ryokiwind (22763) on 2004年07月08日 17時08分 (#585477)
      いや、元ネタ見る限り先に公表するとは明言してませんね。
      ただ、先に公表しないとも名言していないのでどちらか判りませんが。

      それよりも、
      IPAが情報の公表・データベース化、ユーザーとの窓口
      JPCERT/CCが脆弱性を検証・ソフトウェア開発者やWebサイト管理者に報告する
      この二部門をわざわざ分けているほうが気になりますね。

      きちんと連携とって対応しないと、
      開発者に連絡する前に公表しないと明言してたとしても、
      手違いで先に発表してしまったとかやりかねないので。
      親コメント
    • Re:公表が先なの? (スコア:2, すばらしい洞察)

      by alp (1425) on 2004年07月08日 17時11分 (#585481) ホームページ 日記
      mitre のやっているように、内容非公開で採番したことを公表する、というところでしょう。これはこれで悪くないのでは (と書いてみるテスト)。

      でも、それよりも前に JPCERT/CC がコーディネートすると言っていること自体、過去の経緯を知る者に取ってみれば既に大失笑なんですけど。まぁ、一応お手並み拝見はしますけど、45日たって公開した報告者を笊なサイト管理者と一緒に非難する側に回る光景が目に見えるようです。

      親コメント
      • by norishima (21114) on 2004年07月08日 18時17分 (#585536)
        http://www.ipa.go.jp/about/press/20040708-2.html
        ・発見者情報について
         製品開発者及びウェブサイト運営者と発見者との間で、脆弱性に関する詳細な情報のやり取りが発生することを考慮し、届出の際に発見者の連絡先情報の記入をお願いしています。発見者情報は、機密情報として取り扱い、脆弱性関連情報の取扱い終了後に削除します。


        良くわかってないのだけど、45日たってから報告者って公表されるの?
        親コメント
        • by parsley (5772) on 2004年07月08日 19時20分 (#585565) 日記
          報告書のフォーマットを見るとわかるように、公表を希望しないことも可能なようです。(それで公表されないかどうかは運用側の問題「ですよね」)
          --
          Copyright (c) 2001-2014 Parsley, All rights reserved.
          親コメント
      • by Anonymous Coward
        「ソフトウエア製品脆弱性関連情報」と 「ウェブアプリケーション脆弱性関連情報」の 処理プロセスは違っていて、あなたのいっているような Webサイトの脆弱性の場合はIPAのみの扱いになりJPCERT/CCは 扱わないことになっているみたいですが? それとも公開されている資料は間違いでJPCERT/CCも両方扱うのでしょうか???
    • Re:公表が先なの? (スコア:1, 参考になる)

      by Anonymous Coward on 2004年07月08日 17時12分 (#585483)
      いやまったくその通りだと思います。
      通知より先に公表しちゃったら、office さん状態になっちゃうじゃないですか。



      ……というしょーもないボケは置いといて。
      ちょっとマジレスすると、IPA のプレス発表 [ipa.go.jp]の図を見ると、
      製品開発者への通知のほうが公表よりも先みたいですね。

      開発者とのやりとりは JPCERT/CC が行うみたいですが、
      IPA が受け付けてから開発者に伝わるまでどれくらい時間がかかるのか、
      開発者に連絡したという情報を発見者にフィードバックするのかしないのか、
      イマイチはっきりしませんが。

      でも発見者の情報については公表後も機密とされるので、
      発見者が開発者/運営者から逆ネジ食らう心配はなくなるのかな。
      親コメント
      • by Anonymous Coward
        マジボケもいいところだ。彼と一緒にしてはいけない。
        彼は通知してなかったんじゃない。
        通知先をちゃんと公表してない側。通知の仕方がまずかったんで門前払いされてぶちぎれた、という背景があるのを忘れちゃいけない。
        得たデータ、特に個人情報を一部とはいえ当事者に無断で公表しちゃったことは当然正当な手段で裁かれるべきことだけどな。
        • by Anonymous Coward
          > 通知の仕方がまずかったんで門前払いされてぶちぎれた

          1: いきなりAD200xで情報大公開
          2: それから各機関に連絡を送付
          3: ACCSが出した返事のメールヘッダがACCSからっぽくなかったと河合が勘違い

          時系列を間違えないでくだちい。
          大うそつきもいましたが、みんなちゃんと反応しました。
  • by masaru (2119) on 2004年07月09日 0時14分 (#585683) ホームページ

     これでなにがよくなるって、セキュリティホールがある製品をそのまま放置するようなところにバシっと言ってくれる/調整してくれる、っていうところでしょうか。 セキュリティホール発見したひとが、製品作っているところと調整するなんていうことを要求するのは酷なわけだし。 愛のあるセキュリティホール発見者にとっては、やりやすい環境になるんじゃないかと思います。

     別にあら探しをすすめているわけでなく、提起された問題を解決して前向きに進んでいくのを補助していると考えれば、有意義かと思うのですが。

    • あまりに楽観主義のあなたに脆弱性が見つかりましたと。
      バシッと言ってくれるかどうか、言われて改善するのか
      最初のモデルケースになってください!

      #ACCSのcgiは報告対象になるのだろうか…
      • 製品とWebサイトは別ですよ。

        # タレコミのネタ元も読まずにレスするあなたに欠陥が見つかりましたと。
        • 納入された「製品」というレベルでcgiって書いたんだよ。

          # 文意を読まずにレスするあなたに欠陥が見つかりましたと。
          • > 納入された「製品」というレベルでcgiって書いたんだよ。

            だったら、「ACCSの」じゃなくて、「ファーストサーバーの」と書けよ。
  • by katsuwo (17163) on 2004年07月09日 1時05分 (#585707) 日記
    英語が苦手なヒトでも、日本語でIPAに届ければ、JPCERTからsend-pr [freebsd.org]
    してくれるって寸法なんですね。
    …とか言ってみるテスト。
    # いわゆる海外オープンソース系のソフトウェアとかにも、がっつり
    # 取り組んでいただけるのでしょうな。期待。
    --
    @大阪なヒト
  • by Anonymous Coward on 2004年07月09日 10時46分 (#585875)
    脆弱性を検証するというのは、セキュリティホールをつくということですね。侵入できれば、それで京都府警につかまるわけですが、つかまらないという超法規はできているのでしょうか。
    • 製品とWebサイトは別ですよ。

      たしかに、Webサイトのセキュリティホールを検証するには、その脆弱性の種類によっては、セキュリティホール突かないと判断できないものもあって、その場合には運営者の承諾を得ないと不正アクセス禁止法違反にあたる場合もありますね。

      しかし、製品の脆弱性を手元で検証するのには、警察は関係がないです。
  • by Anonymous Coward on 2004年07月08日 23時46分 (#585676)
    恐らく、サーバー類とゲーツ君のIEを含むもの
    ストリ-ミング系やフラッシュが主にインターネット
    それに関わるのが影響力がありまた素早く対処すべきものでしょうけど

    報告して検証となると、検証しているだけで対策が遅れませんか?
    未確認でもメーカー側へ報告義務があれば役に立ちそうですけど

    ま、危険であると公表していうだけ
    恥ずかしいので急いで治すかもしれませんが

    #喉元過ぎれば恥ずかしいのを忘れるってありそうで恐いですけど

    #あ、 週もまた.... [itmedia.co.jp]
    #基本構造に欠陥があると思われるがアプリじゃなくてシステムなんだけど報告すべき?
  • by Anonymous Coward on 2004年07月09日 12時41分 (#585974)
    1) 脆弱性の修正に関する連絡を希望するか

              □ 希望する ■ 希望しない

    JPCERTに上記の項目がありのを知らずに書かないで連絡したら、承りました、統計情報として使わせていただきます、というメールをいただいた。で、どういう意味かと聞いたら、承るだけだと。そのとおりだった。
  • by Anonymous Coward on 2004年07月09日 21時16分 (#586286)

    あのさあ…本当にJPCERTが脆弱性の検証をするの?

    窓の杜の方には「また、JPCERT コーディネーションセンター(以下、JPCERT/CC)が届出のあった脆弱性を検証し、ソフトウェア開発者に報告する仕組み。」って書いてあるけど、元記事のhttp://www.ipa.go.jp/security/vuln/report/process.html [ipa.go.jp]にはJPCERTが検証する、なんて文言はないじゃん。「脆弱性関連情報は、JPCERT/CCから製品開発者に通知します。」としか書いてないし、さらに「製品開発者が脆弱性の存在有無を確認する際に発見者の了解がある場合には、問い合わせをさせていただくことがあります。」とあるよね。「製品開発者が脆弱性の存在有無を確認する」というのは、検証するってことじゃないのかよ。

    一次情報には存在せず、二次情報にしか存在しない記述を信用してしまうOliverって、記事の書き手として問題があると思うし、そもそもJPCERTがなんで製品の脆弱性を検証する必要があるのかが分からない。

    脆弱性の検証なんて行為自体はベンダに任せた方がよっぽど賢い。もちろんベンダが「そんな脆弱性はない」と言い張ることもできるけれど、万が一嘘をついたとしても、いずれあちこちで脆弱性が指摘されてどうにもならなくなるのは明白だし、この枠組みに参加しなければならないわけではないのだから、枠組みに参加しておいて嘘をつくというのはちょっと考えにくい

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...