経産省のソフトウェア脆弱性報告基準が施行、運用が始まる 42
ストーリー by Oliver
すべてを統べる窓口 部門より
すべてを統べる窓口 部門より
snowy曰く、"窓の杜に上がった記事によると、経済産業省はソフトウェアやWebアプリケーションの脆弱性の届け出と検証などに関する取り扱い基準を定め、8日から施行すると発表した。対象となるものは国内のソフトウェアと国内向けのWebアプリケーションサービス。
仕組みとしては、IPAが届け出を受け付け、公表とデータベース化を行い、JPCERT/CCが検証した上で開発者へ連絡する。IPAに届け出に関する専用のページができている。なお、JPCERT/CCでは主要都市で説明会を行う。
これで、少なくとも、国内の環境に関しては制度が整いつつあるが、最終的には世界的な枠組みができるのが望ましいとたれこみ子は思う。関連: 経済産業省が募集したパブリックコメント"
運用を開始したって… (スコア:3, 参考になる)
ま~だ~?(AA略)
とか言いたくなります。45日以内とは言わず、官報にはもう載っているんでしょうけれど。
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:運用を開始したって… (スコア:2, 参考になる)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:運用を開始したって… (スコア:3, 参考になる)
(リンク先は目次。告示内容はPDF)
基準を定めた件、ならびにその受付機関&調整機関が記載されてます。
/*-+/*-+/*-+/*-+/*-+/
Allez! Allez! Allez!
Re:運用を開始したって… (スコア:1)
でも1週間で消えてしまうってのが、国のやることかよって気分が満載なんです。(官報売る人たちのこともあるでしょうけれど)
# スラドの話題には寿命が丁度いいかもしれませんが
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:運用を開始したって… (スコア:2, 興味深い)
オフトピですけど.
まったくです.というか,税金で作られたデータを「売る」というセンスがわかりません.二重取りじゃないのか? そりゃ手数料くらいは払ってもいいけどさ.図書館? うーん,遠くてなかなか行けない地域も多いんですがねえ.
# このへん,数値地図(CD-ROM 1枚7500円也)を私費で買う羽目になった
# 恨みが入ってるのかもしれません.
## え,そのデータはカシミールの解説本に入ってる?
## 当時はまだ出てなかったのよ……
ちなみに,以前,仕事で必要になってアメリカの国立研究機関の出している報告書を取り寄せたことがあります.ハードカバーではありませんが,A4変形版100ページくらいの冊子が,送料も含めて無料でした(今はPDFで公開されてます).俺はアメリカに税金は払ってないのになあ.
# アメリカって国はあんまり好きじゃないけど,
# こういうときは,なんというか,奥深い国だなあと思いますね.
# 相手が研究機関だったということもあるのかもしれませんが.
Re:運用を開始したって… (スコア:1)
# それが、アメリカが先、とかいうことは別問題として
## 元コメントの意図を解説しないとがつがつ言われそう
### がつがつ言ってください
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:運用を開始したって… (スコア:0)
紙で買った方が安いけど。
というか、図書館に行こう。
Re:運用を開始したって… (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
で、結局 (スコア:3, おもしろおかしい)
Re:で、結局 (スコア:0, 荒らし)
*-----------------------*
-- ウソ八百検索エンジン --
器が出来たのはよ~くわかった (スコア:3, 参考になる)
保証ってどうなったんだろう?いくら発見者の情報を
機密扱いにするとはいえ、令状の前では無意味だろうし。
例えば脆弱性を「悪意のある人が悪意のある方法で見つける
もの」 [impress.co.jp]と定義してるような会社の製品について報告した場合、
「報告者は悪意を持ってるので威力業務妨害だ」と主張するかも。
それに警察が飛びついたりすると・・・ガクガクブルブル(AA略)
Re:器が出来たのはよ~くわかった (スコア:2, 興味深い)
公表が先なの? (スコア:2, 参考になる)
検証→開発者へ連絡よりも先に、情報を公表しちゃうの? 重大なセキュリティーホールだったりする場合、修正が確認されるよりも先に公表しちゃうのはマズくないですか?
むらちより/あい/をこめて。
公表は後ですね (^_^; (スコア:5, 参考になる)
いかん、最近ちゃんと調べてから書く癖がなくなってきている。気を付けなければ。。。
IPA のサイトによる 説明 [ipa.go.jp] において、脆弱性関連情報の取扱いプロセス [ipa.go.jp] がきちんと明示されています。これによると、届出の受理 → JPCERT/CC を通して開発者へ通知 → 脆弱性への対応 → 情報の公表、の順になっているようです。当たり前ですね (^_^; 。
むらちより/あい/をこめて。
Re:公表が先なの? (スコア:2, 参考になる)
ただ、先に公表しないとも名言していないのでどちらか判りませんが。
それよりも、
IPAが情報の公表・データベース化、ユーザーとの窓口
JPCERT/CCが脆弱性を検証・ソフトウェア開発者やWebサイト管理者に報告する
この二部門をわざわざ分けているほうが気になりますね。
きちんと連携とって対応しないと、
開発者に連絡する前に公表しないと明言してたとしても、
手違いで先に発表してしまったとかやりかねないので。
Re:公表が先なの? (スコア:1)
Re:公表が先なの? (スコア:2, すばらしい洞察)
でも、それよりも前に JPCERT/CC がコーディネートすると言っていること自体、過去の経緯を知る者に取ってみれば既に大失笑なんですけど。まぁ、一応お手並み拝見はしますけど、45日たって公開した報告者を笊なサイト管理者と一緒に非難する側に回る光景が目に見えるようです。
Re:公表が先なの? (スコア:1)
・発見者情報について
製品開発者及びウェブサイト運営者と発見者との間で、脆弱性に関する詳細な情報のやり取りが発生することを考慮し、届出の際に発見者の連絡先情報の記入をお願いしています。発見者情報は、機密情報として取り扱い、脆弱性関連情報の取扱い終了後に削除します。
良くわかってないのだけど、45日たってから報告者って公表されるの?
Re:公表が先なの? (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:公表が先なの? (スコア:0)
Re:公表が先なの? (スコア:1, 参考になる)
通知より先に公表しちゃったら、office さん状態になっちゃうじゃないですか。
……というしょーもないボケは置いといて。
ちょっとマジレスすると、IPA のプレス発表 [ipa.go.jp]の図を見ると、
製品開発者への通知のほうが公表よりも先みたいですね。
開発者とのやりとりは JPCERT/CC が行うみたいですが、
IPA が受け付けてから開発者に伝わるまでどれくらい時間がかかるのか、
開発者に連絡したという情報を発見者にフィードバックするのかしないのか、
イマイチはっきりしませんが。
でも発見者の情報については公表後も機密とされるので、
発見者が開発者/運営者から逆ネジ食らう心配はなくなるのかな。
Re:公表が先なの? (スコア:0)
彼は通知してなかったんじゃない。
通知先をちゃんと公表してない側。通知の仕方がまずかったんで門前払いされてぶちぎれた、という背景があるのを忘れちゃいけない。
得たデータ、特に個人情報を一部とはいえ当事者に無断で公表しちゃったことは当然正当な手段で裁かれるべきことだけどな。
Re:公表が先なの? (スコア:0)
1: いきなりAD200xで情報大公開
2: それから各機関に連絡を送付
3: ACCSが出した返事のメールヘッダがACCSからっぽくなかったと河合が勘違い
時系列を間違えないでくだちい。
大うそつきもいましたが、みんなちゃんと反応しました。
これでナニがよくなるって... (スコア:2, すばらしい洞察)
これでなにがよくなるって、セキュリティホールがある製品をそのまま放置するようなところにバシっと言ってくれる/調整してくれる、っていうところでしょうか。 セキュリティホール発見したひとが、製品作っているところと調整するなんていうことを要求するのは酷なわけだし。 愛のあるセキュリティホール発見者にとっては、やりやすい環境になるんじゃないかと思います。
別にあら探しをすすめているわけでなく、提起された問題を解決して前向きに進んでいくのを補助していると考えれば、有意義かと思うのですが。
Re:早速報告してきますね (スコア:0)
バシッと言ってくれるかどうか、言われて改善するのか
最初のモデルケースになってください!
#ACCSのcgiは報告対象になるのだろうか…
Re:早速報告してきますね (スコア:0)
# タレコミのネタ元も読まずにレスするあなたに欠陥が見つかりましたと。
Re:早速報告してきますね (スコア:0)
# 文意を読まずにレスするあなたに欠陥が見つかりましたと。
Re:早速報告してきますね (スコア:0)
だったら、「ACCSの」じゃなくて、「ファーストサーバーの」と書けよ。
便利だなぁ (スコア:1)
してくれるって寸法なんですね。
…とか言ってみるテスト。
# いわゆる海外オープンソース系のソフトウェアとかにも、がっつり
# 取り組んでいただけるのでしょうな。期待。
@大阪なヒト
Re:便利だなぁ (スコア:0)
Re:便利だなぁ (スコア:0)
JPCERTて免罪符を持っているの (スコア:1, すばらしい洞察)
Re:JPCERTて免罪符を持っているの (スコア:0)
たしかに、Webサイトのセキュリティホールを検証するには、その脆弱性の種類によっては、セキュリティホール突かないと判断できないものもあって、その場合には運営者の承諾を得ないと不正アクセス禁止法違反にあたる場合もありますね。
しかし、製品の脆弱性を手元で検証するのには、警察は関係がないです。
何かいい事があるのですか? (スコア:0)
ストリ-ミング系やフラッシュが主にインターネット
それに関わるのが影響力がありまた素早く対処すべきものでしょうけど
報告して検証となると、検証しているだけで対策が遅れませんか?
未確認でもメーカー側へ報告義務があれば役に立ちそうですけど
ま、危険であると公表していうだけ
恥ずかしいので急いで治すかもしれませんが
#喉元過ぎれば恥ずかしいのを忘れるってありそうで恐いですけど
#あ、 週もまた.... [itmedia.co.jp]
#基本構造に欠陥があると思われるがアプリじゃなくてシステムなんだけど報告すべき?
1) 脆弱性の修正に関する連絡を希望するか (スコア:0)
□ 希望する ■ 希望しない
JPCERTに上記の項目がありのを知らずに書かないで連絡したら、承りました、統計情報として使わせていただきます、というメールをいただいた。で、どういう意味かと聞いたら、承るだけだと。そのとおりだった。
今年の下半期流行語大賞への立候補第一号だと (スコア:0)
本当にJPCERTが脆弱性の検証をするの? (スコア:0)
あのさあ…本当にJPCERTが脆弱性の検証をするの?
窓の杜の方には「また、JPCERT コーディネーションセンター(以下、JPCERT/CC)が届出のあった脆弱性を検証し、ソフトウェア開発者に報告する仕組み。」って書いてあるけど、元記事のhttp://www.ipa.go.jp/security/vuln/report/process.html [ipa.go.jp]にはJPCERTが検証する、なんて文言はないじゃん。「脆弱性関連情報は、JPCERT/CCから製品開発者に通知します。」としか書いてないし、さらに「製品開発者が脆弱性の存在有無を確認する際に発見者の了解がある場合には、問い合わせをさせていただくことがあります。」とあるよね。「製品開発者が脆弱性の存在有無を確認する」というのは、検証するってことじゃないのかよ。
一次情報には存在せず、二次情報にしか存在しない記述を信用してしまうOliverって、記事の書き手として問題があると思うし、そもそもJPCERTがなんで製品の脆弱性を検証する必要があるのかが分からない。
脆弱性の検証なんて行為自体はベンダに任せた方がよっぽど賢い。もちろんベンダが「そんな脆弱性はない」と言い張ることもできるけれど、万が一嘘をついたとしても、いずれあちこちで脆弱性が指摘されてどうにもならなくなるのは明白だし、この枠組みに参加しなければならないわけではないのだから、枠組みに参加しておいて嘘をつくというのはちょっと考えにくい
Re:本当にJPCERTが脆弱性の検証をするの? (スコア:0)
Re:お上がこんな事やって (スコア:2, フレームのもと)
Re:お上がこんな事やって (スコア:1, すばらしい洞察)