TAMURA Toshihiko
tamur****@bitsc*****
2004年 4月 7日 (水) 14:03:08 JST
こんにちは、田村です。 ソフトウェアの脆弱性対策に関する4月5日の日本経済新聞の記事が 話題になりました。 ●『経産省、ソフトの欠陥修正に「45日ルール」』 http://it.nikkei.co.jp/it/news/seisaku.cfm これについて、具体的な内容が公開されています。 ●『経産省、ソフトウェアの脆弱性対策に本腰』 http://japan.cnet.com/news/sec/story/0,2000050480,20065309,00.htm ●「情報システム等の脆弱性情報の取扱いに関する研究会」報告書 http://www.meti.go.jp/policy/netsecurity/vulnerability.htm これには、次のようなことが書かれています。 ・脆弱性情報を「発見者からの通報」→「受付機関での内容の確認」 →「調整機関での対応の調整」 →「ソフトウエア製品開発者等からユーザへの対策方法の公表」 という、脆弱性関連情報の基本的な流れと作業手順を特定する。 ・ 通知しても脆弱性の修正をしようとしない事業者のソフトウエア等に関しては、 当該脆弱性の内容を適切な形で一般に公開することとする。 このあたりは、個人的にも大変興味深いんですが、 今回は、ウェブサイトの脆弱性の責任については、 わりとあいまいなことが書かれていますね。 (osCommerceのような)ウェブアプリケーションの脆弱性についての責任は、 第一にはサイトの運営者が負うことになりますが、 オープンソースの開発主体というのはちょっと立場が微妙ですね。 法律的にはともかく、いろんな意味でもっと責任が求められることに なっていくのは当然だと思います。 -- 田村敏彦 / 株式会社ビットスコープ E-mail:tamur****@bitsc***** http://www.bitscope.co.jp/
