コンピュータウイルスや不正アクセスの攻撃対象となりうる情報システムの問題箇所(脆弱性)が発見された場合にどのように対処するのか。その公的ルールを経済産業省が6月中にも制定することになった。脆弱性情報をソフト製品開発者やウェブサイト運営事業者に迅速に伝えて対策を求める仕組みを整備することで、セキュリティに対する事業者の自覚と取り組みを促進させたい考えだ。(ジャーナリスト 千葉利宏)
経産省、6月に告示
経産省では、ウイルス・不正アクセス問題に対して早期にトラブルを発見・公表することで被害を最小限に食い止めるための仕組みづくりを進めてきた。1990年に導入したコンピュータウイルス届出制度および96年の不正アクセス届出制度(実施機関:情報処理推進機構=IPAおよびJPCERT/CC=Japan Computer Emergency Response Team/Coordination Center)で被害の発生を国民に早期に知らせる体制を構築。03年11月には、インターネット上に設置した複数のセンサーから得られる情報を解析し、ネットワークの異常発生を検出してネットワークのシステム管理者に知らせるインターネット定点観測事業(JPCERT/CC)も開始した。
昨年10月に公表された「情報セキュリティ総合戦略」では、昨年8月に発生して大きな被害をもたらしたMSブラスターのように脆弱性を直接攻撃するウイルスなどが増えている現状を踏まえた対策の必要性を提言。IPAに「情報システム等の脆弱性情報の取り扱いに関する研究会」を設置して検討を進めてきたが、今月報告書がまとまった。
新しい体制は図に示す通り。ウイルスの被害届と同様に、脆弱性の発見者はまず情報をIPAに届け出る。受付機関のIPAは内容を確認したうえで、調整機関のJPCERT/CCに連絡。そこで情報の取り扱いや対策方針を決め、関係する事業者に通知して対策を求める。一定期間を経たあと、調整機関から国民に対策方法などの情報を公表する仕組みだ。同様の体制は米国や英国などでも構築されており、海外で発見されて米CERT/CCや英UNIRASなどの海外機関に届け出られた脆弱性情報も今後はJPCERT/CCに集約され、対策が講じられる。
公的な仕組みが構築されることで大きく2つの効果が期待されている。1つは、脆弱性情報に対する社会全体の意識を高める効果だ。脆弱性が発見された場合、発見者には必ずIPAに届け出るとの意識を、事業者には次のバージョンアップまで対策を先送りするようなことはせずに迅速に対応するとの意識をもってもらうことである。2つめは、脆弱性の発見者に対する社会的な評価を明確にする効果。脆弱性の発見では、メーカーなどが対外的に発見者への謝辞を表明することが、発見者のインセンティブとして働くと言われている。これまでは直接メーカーに情報提供しても謝辞が表明されないケースがあったが、公的機関が間に入ることで発見者の功績が正しく評価され、インセンティブも働きやすくなる。
今後のポイントは、情報公開のルールをどうするか。米国ではCERT/CCが製品開発者に最初の連絡を行ったあと45日間で情報公開することを原則としており、製品開発者はその間に対策を講じることが求められている。日本でもJPCERT/CCが通知しても脆弱性を修正しようとしない事業者名を公表するなど制裁的な措置も講じる予定だが、利用者である国民にとってはできるだけ迅速な情報提供を期待したいところ。経産省は6月までにソフト業界とも調整しながら告示の形で公的ルールを制定する予定だが、被害防止の観点から国民に判りやすい情報公開のあり方が望まれる。
