脆弱性情報取り扱い説明会
などに行ってきますた。
降りる駅を把握してなかったり、開催場所を把握してなかったりで(汗
麹町でいんだっけー?とか、なぜかホテルニューオータニ*1に行っちゃったりで(^-^;
この内容って、この法律的にどうなの?って突っ込みいれようかなぁ〜なんて思ったんだけど、ガイドラインの内容そのものがまだ検討中名部分が多く、また、現在公判中の裁判の結果を待たないとびみょーとかいろいろあって、質問はしませんでしたー。
以下、7/24に追記(だってー、マジメネタ書かないの?って言われて(笑))。
資料は全部会社なので、まとめて書いてみるテスト。
話があったのは、以下の4つの点。
2004年7月8日から運用が開始されている脆弱性等情報取り扱いのためのガイドラインは、SIerとしての立場が書かれていません。この辺はまだ検討中とのことで、各法律との調整を含め「今後議論されるべき問題が残っている」と認識したほうがいいと思います。ブラッシュアップも必要ですから〜。
以下、まとめてざっくり。
◆JPCERT/CCの国際的な役割
- 公表日の国際間の調整
- 公表日を国際間で統一する必要があるため
- 諸外国CSIRTから脆弱性情報を受け取る窓口
◆IPAとJPCERT/CCの役割@国内
2004年7月8日に脆弱性等情報の取り扱いを開始。対象範囲は、製品等のソフトウェアとWebアプリケーション。インデント開発なソフトウェアでWebアプリケーションではないものは含まない。
- IPAの役割
- 脆弱性情報の受付窓口。メール受信は24時間。対応は、業務時間中のみ。
- JPCERT/CCの役割@製品等ソフトウェアの場合
- 脆弱の検証(環境が構築できる場合のみ)
- ベンダーへの連絡(開発ベンダーは、あらかじめPOC登録する必要がある)
- 公表日の決定(45日を目安。case by case で調整)
- JPCERT/CCの役割@Webサイトの場合
- 特に問題がある場合、Webサイト運営側と連携して脆弱性の再現確認、修正後の確認を行う
- 脆弱性公表のためのポータルサイト(JVN)
- URLはこちら→http://jvn.jp/
◆開発ベンダーが体制を整えるためのガイドライン
◆JPCERT/CCが諸外国のCSIRTと連携した具体例(TCP)
TCPの仕様に関する問題点で、古くから指摘されていた問題。
- 2004年3月
- 2004年4月
- マスコミ報道により、公表日が2004年4月20日@英国(日本では4月21日)となる。
added July 24th 2004
*1:開催場所は都市センターホテル(^-^;