パスワードを忘れた? アカウント作成
766843 submission
セキュリティ

IPAが脆弱性の通報・告知・公開の体制作りを提言

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
善玉ハッカー指針」か「45日ルール」かと憶測を呼んだ経済産業省の情報セキュリティ政策だが、IPAから「情報システム等の脆弱性情報の取扱いに関する研究会」の報告書が発表されたと各ネットメディアが伝えている(ITmediaPCWEBINTERNET Watch)。
これらによると、45日と一部報道された期限について、「脆弱性の度合いやソフトウェアによって通知から公表までの日数は柔軟に変更できるようにする」(PCWEB)といい、「一定の目安となる期間を、公的ルールおよび民間ガイドラインが策定される7月をめどに決定する方針」(ITmedia)という。Webアプリについては「特に目標日数を定めるつもりはない」(ITmedia)のだそうだ。また、脆弱性の対策や回避情報を公開する方針だというが、Webアプリについては「当面、個別のサイトごとに問題点を公表することはしない」「統計情報を公表しユーザーに注意を促す方針」(ITmedia)という。
「推奨する公的ルール」を経産省の告示として定めるそうだが、「脆弱性に対処しなかった場合でも罰則などは生じない」「法律的な強制力はない」(PCWEB)といい、実効性に疑問がもたれるが、「きちんと通知を行うことにより、Webサイト運用者は「問題を知らなかった」などと言い逃れをすることが困難になる」「将来的にこの枠組みが一種の「慣習法」となれば、民事訴訟の場において、サイト運用側の過失認定や責任追及の一助になるのではないか」(ITmedia)という。
気になる善玉ハッカー指針だが、「今回の枠組みは、不正アクセス禁止法に触れるような行為の法的責任を免除するものでは決してない」(ITmedia)という。報告書(PDF)を見てみると、p.31で「発見者は、違法な手段で脆弱性関連情報を取得しないことが肝要である」とされ、p.35には法的論点が整理されているようだ。結局何もできないのでは? とも思えるが、「『怪しい』と感じた段階でIPAに届け出ることができるようになり、リスクを避けることができる」(ITmedia)という。報告書のp.5には、この制度が必要となる背景について、次のように記されている。
なお、第三者がウェブサイト運営者の許可なく脆弱性検査を行うことは、運営者に危険性を伝える目的であっても、脆弱性の種類によっては不正アクセス禁止法等に抵触する可能性もあり、奨励できる行為ではない。その一方、ユーザが適法にウェブサイトを利用している最中に、偶然に脆弱性を見つけてしまった場合には、運営者に事実関係を伝えることが望ましいが、不正アクセス禁止法等への抵触を疑われることを恐れて放置してしまうことが起きやすいと考えられる。
アレゲな諸兄もこれで安心して通報できるようになるだろうか。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...