1. JPCERT/CCの国際的な役割
2. IPAとJPCERT/CCの役割＠国内
3. 開発ベンダーが体制を整えるためのガイドライン
4. JPCERT/CCが諸外国のCSIRTと連携した具体例（TCP）

2004年7月8日から運用が開始されている脆弱性等情報取り扱いのためのガイドラインは、SIerとしての立場が書かれていません。この辺はまだ検討中とのことで、各法律との調整を含め「今後議論されるべき問題が残っている」と認識したほうがいいと思います。ブラッシュアップも必要ですから〜。

以下、まとめてざっくり。
◆JPCERT/CCの国際的な役割

• 公表日の国際間の調整
  • 公表日を国際間で統一する必要があるため
• 諸外国CSIRTから脆弱性情報を受け取る窓口
  • 日本国内ベンダーへの連絡と、国内ベンダーの対応状況取りまとめ役
  • CERT/CCは、JPCERT/CCとの手順のすりあわせ、連携するためのNetwork構築を実施済み。JPCERT/CCを信用しており、今後とも連携を強めていく。

◆IPAとJPCERT/CCの役割＠国内
2004年7月8日に脆弱性等情報の取り扱いを開始。対象範囲は、製品等のソフトウェアとWebアプリケーション。インデント開発なソフトウェアでWebアプリケーションではないものは含まない。

• IPAの役割
  • 脆弱性情報の受付窓口。メール受信は24時間。対応は、業務時間中のみ。
• JPCERT/CCの役割＠製品等ソフトウェアの場合
  • 脆弱の検証（環境が構築できる場合のみ）
  • ベンダーへの連絡（開発ベンダーは、あらかじめPOC登録する必要がある）
  • 公表日の決定（45日を目安。case by case で調整）
• JPCERT/CCの役割＠Webサイトの場合
  • 特に問題がある場合、Webサイト運営側と連携して脆弱性の再現確認、修正後の確認を行う
• 脆弱性公表のためのポータルサイト（JVN）
  • URLはこちら→http://jvn.jp/

◆開発ベンダーが体制を整えるためのガイドライン

• 社内体制の整備
  • まずは、JPCERT/CCへPOC登録が必要（登記簿とかが必要）
  • 脆弱性情報は必要最小限に流す必要があるが、当該製品調査範囲は最大限に広げる必要がある
  • 脆弱性情報を受け取る窓口に

◆JPCERT/CCが諸外国のCSIRTと連携した具体例（TCP）
TCPの仕様に関する問題点で、古くから指摘されていた問題。

• 2004年3月
  • JPCERT/CCが米国CSIRT（CERT/CC）から情報を受け取り。
  • JPCERT/CCから国内開発ベンダーへ連絡。
  • 公表日を2004年7月に設定、その後、2004年4月21日に修正される。
• 2004年4月
  • マスコミ報道により、公表日が2004年4月20日＠英国（日本では4月21日）となる。

added July 24th 2004