ページの本文へ

Hitachi

セキュリティ情報流通を支援する国内向けベンダ・ステータス・ノーツ(JVN)構築

3. 情報セキュリティ早期警戒パートナーシップの枠組みができる

2004年7月、経済産業省は公的ルールとして「ソフトウェア等脆弱性関連情報取り扱い基準」を定め、その具体的な枠組みとして「情報セキュリティ早期警戒パートナーシップ」の運用を開始しました。これによって、一般公表前に脆弱性に関連する情報を該当する製品開発ベンダに連絡し、対応を依頼することや、脆弱性対策情報を全世界で同時に公表するため海外の関係機関とも連携して一般公表日を調整するといった役割や手順もはっきりしました。

JPCERT/CCの支援を受け試行運営してきたJVNも、これまでの活動が認められ、公的な枠組みの中でIPA(独立行政法人 情報処理推進機構)とJPCERT/CCが共同運営することになりました。JP Vender Status Notesと名称は改めましたが、略称はJVNのままですし、日本国内の製品開発ベンダの脆弱性対応状況を公表するサイトであることに変わりはありません。

脆弱性関連情報流通の基本的な枠組みを示した図。キーワード:発見者、脆弱性関連情報通知、IPA(受付機関)、JPCERT/CC(調整機関)、対応状況の集約、公表日の調整
図1 脆弱性関連情報流通の基本枠組み

こうしてJVNが公的な枠組みの中で活動するようになった意義は大きいと思います。このサイトで脆弱性対応状況を公表している製品開発ベンダと、そうでない製品開発ベンダとでは、ユーザの評価も当然違ってくるはずですし、そのことに気づいた製品開発ベンダが積極的に情報を提供する、ひいては、製品やサービスのセキュリティ品質を確保するという雰囲気の生まれてくることをJVNとしても期待しているのです。ただ、それには製品開発ベンダにとって参加しやすい仕組みや、情報流通に手間がかからないような方法を考える必要があります。

ユーザにとっても、情報を集める手間がかからないに越したことはありません。僕自身も社内で脆弱性に関する報告があると、あちこちのセキュリティ情報サイトやニュースサイトで情報を集めてきます。そうしたことは、他の事業所でも誰かがやっているはずですし、また他の企業でも同様でしょう。いったい日本全体で何人がそうした仕事をしているか想像してみてください。本来なら情報を集めることが仕事なのではなく、その情報をどうやってうまく活用するかということに労力を使うべきなのです。そういう面でも、JVNは情報流通の要となっていく必要があります。