近年コンピュータウイルスをはじめとするソフトウェアの脆弱性を悪用した不正アクセスなどが増えているが経済産業省が発表した「ソフトウエア等脆弱性関連情報取扱基準」にまつわる説明会があったので参加した。*1

IPAとJPCERT/CCが主催で経済産業省が後援 http://www.ipa.go.jp/security/vuln/event/20040720.html

大雑把な話でいうと脆弱性を発見した人はIPAにその情報を届ける。IPAはその情報をとりまとめJPCERT/CCに伝える。JPCERT/CCはその脆弱性に関連する製品を開発しているベンダー（製品開発者）にその情報を知らせるとともに関連機関の調整を行う。製品開発者は脆弱性の検証および対策方法の開発などを行う。脆弱性は必ずしも一社の製品だけにあるとは限らないのでその場合は関連機関と同期をとりながら脆弱性情報の公開時期などを調整する。

http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf

海外で発見された脆弱性情報はCERTなどを通じてJPCERT/CC経由で伝えられる。

情報システム等の脆弱性情報の取扱に関する研究会の報告書
http://www.ipa.go.jp/security/fy15/reports/vuln_handling/index.html

IPAのページにはいろいろと参考文献が載っているので、あとでじっくり勉強してみよう。

脆弱性情報の取扱は、ソフトウェアベンダーにとっては経営課題に他ならない。経営管理層の脆弱性情報の取扱に対するコミットメントが必須である。脆弱性情報を適切に処理することが企業経営の長期的な利益に合致するという理解を経営管理層が理解しない限り、この仕組みは機能しないであろう。

ソフトウェアの脆弱性が社会基盤に大きな影響を与える現在、脆弱性情報の適切な処理が企業の社会的な責任の一環として求められていることは間違いない。その意味でIPAおよびJPCERT/CCに対する期待は大きい。