「情報セキュリティ早期警戒パートナーシップ」

という長い名前の協定があります。

日本国内の脆弱性関連情報の対策の普及を図るため、2004年からIPAにより運用されているものです。

今回の講習では、この協定における登録の流れについてひととおり学習しました。

びっくりしたのは、ソフトウェア製品については、脆弱性の発見があっても公表タイミングがずいぶん遅くなるケースが想定されていることです。

安全性を考慮すると発見者がIPAに連絡したら即時で「調査中だが危険性が高い」等のステータスで公表してしまって良いように思えます。

が、実際のビジネスシーンではそのようにはいかないものなのでしょうか。そのあたりは競合との競争など、込み入った事情があるのかもしれませんが…。

＜想定される通常のケース＞

連絡フロー：発見者→IPA→JPCERT/CC→製品開発者

JPCERT/CCから製品開発者へ最初の連絡を試みた日を起算日とし、

JPCERT/CCは、起算日から45日後を目安として公表日を決定する。

＜公表が遅れるケース＞

・開発者と連絡が6ヶ月以上とれない場合

IPA内の公表判定委員会で公表可否を判定。

公表する場合は、製品開発者名や脆弱性情報等をJVNで公表する。

これは…万が一後者にあたるシステムを使用していた場合は災難ですね…。

ちなみに、通常運用でも45日かかり、発見者は公表日までみだりに脆弱性情報を他人に漏らしてはいけない規定になっています。

ということは、製品脆弱性についての世間公表の第一報は、連絡をもらった製品開発者が自発的に公表するケースのみ。製品開発者の高い倫理観を信用するシステムになっているようです。

しかし比較的自由に誰でもプログラミングもアプリ・システム開発もできてしまう時代、懸念があるならもう少し高い統制力で危険を管理しても良いような気がしますが…

スライド冒頭には、脆弱性を指摘された際の開発者の立場としては「発表に対してネガティブな印象を与えてしまう」「責任問題やプライド等が気になりインシデント報告を行いたくない」等の問題が…などと書かれています。

想定できるリスクがあるなら回避すべきだと思うのですが、どうなんでしょう。

私は普段ユーザーの立場にいるので、「危険があるかもしれない」ソフトの情報が公表されないケースが想定されるのは、とても不安なことです。

ちなみにこの協定の適用範囲は

・国内で利用されているソフトウェア製品（ただしプロトコルや暗号アルゴリズムなど仕様自体の脆弱性は含まない）

・日本国内からのアクセスが想定されるサイトで稼働するウェブアプリケーション

です。

脆弱性を発見したら迷わずIPAへ相談したら良いですね。

https://www.ipa.go.jp/files/000059694.pdf

（情報セキュリティ早期警戒パートナーシップガイドライン）