情産16-109
平成16年5月27日
経済産業省商務情報政策局 情報セキュリティ政策室 御中
社団法人 情報サービス産業協会
会長 佐藤 雄二朗
「ソフトウェア等脆弱性関連情報取扱基準(案)」に対する意見
社会のインフラとしての情報システムの重要性が増すなかで、情報システム等の脆弱性に起因するコンピュータ・セキュリティ問題は、情報サービス産業のビジネスに多大な影響を及ぼす問題であると認識しております。
情報サービス産業各社は、日頃より情報システムの安全性、信頼性向上に努めるとともに、脆弱性情報の収集にも力を注いでおり、今回の脆弱性関連情報流通の枠組み及びそれを支える公的ルールや民間ガイドラインは、安全・安心が確保されたネットワーク社会を実現するうえで必要な施策であると考えます。
しかしながら制度実施にあたっては、産業・社会の情報システム構築、運用を担う情報サービス産業の立場からいくつか懸念事項を述べさせていただきますので、ご配慮いただきたく、お願い申し上げます。
1.試行期間の設置について
情報サービス産業はユーザの情報システム構築、運用を事業の柱としており、システム構築にあたっては、脆弱性情報の収集やセキュリティ対策を実施しております。しかしながら、ソフトウェア製品、ウェブアプリケーションいずれの場合もシステム構築を完了した以降に発見された脆弱性についてシステムの修正を実施する場合には、ユーザと情報サービス企業間において、責任分担やコスト負担等のシステム保守に係わる標準的なルールの構築や契約の見直しが必要となります。ユーザに対して本制度の周知を図るとともに、ユーザと情報サービス事業者による取引環境を見直すための十分な試行期間の設定が必要であると考えます。さらに、本制度が実務的に機能するためには、受付機関において脆弱性情報に関するデータベース等を構築し、脆弱性情報の受付日、対策公表日、対策の具体的内容等を管理し、公開時期の問題はあるものの、少なくとも対策完了時には一般に公開していただく必要があると考えます。
2.ウェブサイト運営者の再定義について
ウェブアプリケーションの脆弱性関連情報の取扱いにおけるウェブサイト運営者とは、「サイトで情報発信やビジネスを行う事業者」と定義されておりますが、ハウジングサービス、ホスティングサービス、ASPなど様々な形態により情報サービス産業等の専業者に委託される場合が多くあります。このことから、ウェブサイト運営者にはサービスを提供する事業者を含めて再定義する必要があると考えます。
3.供給者の定義の追加について
ソフトウェア製品の脆弱性では、開発者とユーザの間に供給者が存在いたします。供給者には、海外ベンダの製品を日本語化したり、ソフトウェア製品を組み込んでシステム構築を行う業者などがありますが、現在の定義には含まれておりません。
供給者は開発者とユーザの間に立ち脆弱性への対策を行う必要があることから、開発者に加えて定義を見直すなど、供給者の位置付けを明確にする必要があると考えます。
4.発見者の責務及び定義の見直しについて
ウェブアプリケーションの脆弱性における発見者基準について、「違法な方法により脆弱性関連情報を発見又は取得しない」というだけでは基準として不充分であるように思われます。ウェブアプリケーションの場合、その脆弱性を偶然発見する事は少なく、意図的にそのホームページを調べることで脆弱性が明らかとなることが多いことから発見者についての定義を明確にする必要があると考えます。
加えて、発見された脆弱性の取扱いは厳格に管理する必要があります。発見された脆弱性については原則開示しないこと、開示する場合は受付機関の許可を得るようにする必要があるなど発見者に対する責務を明確にする必要があると考えます。
5:意見・理由:受付窓口の一本化
現在情報処理推進機構を窓口とする「コンピュータウィルスに関する届出制度」、あるいはコンピュータ不正アクセスに係わる届出制度」等が運用されていますが、エンドユーザにとっては今回の制度との関連が不明確であり、混乱を招く恐れがあります。
受付窓口を一本化するなど、エンドユーザにも解りやすく他制度との整合性を図った上で実施されるようお願いいたします。
以上
(本件に関する連絡窓口)
(社)情報サービス産業協会 調査企画部 佐藤
〒135-8073 東京都江東区青海2-45 タイム24ビル 17階
TEL:03-5500-2610 FAX:03-5500-2630 E-mail:webmaster@jisa.or.jp