2014年は、脆弱性（※）対策を考慮した運用の重要性が再認識される年でした。

Windows XPのサポートが終了したり、Apache StrutsやOpenSSL、GNU Bashなどの広く使われているソフトウェアに対する深刻な脆弱性が公表されたりしました。

ソフトウェア開発者や利用者はそれぞれ脆弱性にどのように向き合うべきなのでしょうか？

　ソフトウェアを開発する際には、脆弱性を極力作り込まないよう対策し、ソフトウェアを提供する前に脆弱性を検査し解消する取り組みを実施するようになってきています。オープンソースのソフトウェアであれば、不特定多数の開発者がソフトウェアのコードをチェックします。コードに問題があれば、早期の発見・修正が期待できます。しかし、それでもソフトウェアを配布した後に、脆弱性が見つかることもあります。この場合、脆弱性を見つける人は様々で、善い人が見つけることもあれば、悪い人が見つけることもあります。

 

　悪い人が見つけた場合は、脆弱性を狙って攻撃しようと考えるかもしれません。攻撃が成功すると、情報の改ざんや漏えい、システムの停止を引き起こす可能性があります。前述の通り、脆弱性をすべて取り除くことができないため、脆弱性が後から見つかることを想定した体制作りが必要不可欠です。

　日本には、脆弱性を悪用される前に修正を促すことを目的とした「情報セキュリティ早期警戒パートナーシップ」という取り組みがあります。経済産業省の告示を受け、2004年7月からIPAとJPCERT/CCが共同で運用し、運用開始以来10年が経過しました。現時点で累計1万件を超える脆弱性の届出を受け付け、悪用される前に修正を促してきました。

情報セキュリティ早期警戒パートナーシップガイドライン

https://www.ipa.go.jp/security/ciadr/partnership_guide.html

脆弱性関連情報の届出状況

https://www.ipa.go.jp/security/reports/vuln/software/index.html

　なお、開発者がソフトウェアを修正したとしても、利用者がソフトウェアを修正済みのバージョンに更新しなければ脆弱性は解消されません。そのため、本パートナーシップでは、JVNというサイトで、脆弱性の対策情報を広く周知し、ソフトウェアの利用者にセキュリティパッチの適用やバージョンアップを呼びかけています。

　しかし、対策情報の公表には、ソフトウェアに脆弱性があったことを伝えるという負の側面もあります。脆弱性情報を受け取った組織から“届け出られた脆弱性の対策はするが公表はしたくない”、“公表したことにより利用者からのクレームが多くきた”といった悩みを伺うことがあります。世の中において脆弱性があること自体が必要以上に問題視されてしまうと、対策情報の公表や周知が萎縮してしまいかねません。そうならないよう、適切に対応している組織を評価する土台作りも必要だと考えます。もちろん、善い発見者についても評価される土台が必要です。これらは本パートナーシップの今後の課題の一つです。

 

 

　一方で、新しい流れとして、脆弱性の報告を歓迎する組織が増えてきています。脆弱性を発見した方に報奨金やグッズを支給したり、ウェブサイト上に謝辞を掲載したりしています。自主的に脆弱性への取り組みを行うことが、最終的に組織の利益につながると考えているのではないでしょうか。

　組織の規模等によって、確保できる体制や実施できる施策は限られますので、「組織による自主的な脆弱性への取り組み」と本パートナーシップが補い合い、脆弱性がよりタイムリーに対策される情報社会の形成を支援していきたいと思います。

※ 脆弱性（ぜいじゃくせい）とは、ソフトウェアのセキュリティ上の欠陥のことです。攻撃により、意図しない動作を引き起こした結果、情報の改ざんや漏えい、システムの停止を引き起こす可能性があります。

 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。