脆弱性届け出制度がスタート
セキュリティ対策の潮流はここ数年、大きく変わりつつある。ひとことで言えばそれは「事後対応」から「予防」という変化である。
特集
特集
不正アクセスやコンピュータウイルスについて、1990年代を支配したスキームは「事後対応」だった。不正アクセスなどのインシデントが起きたら、企業はその事実を有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)に報告し、そしてJPCERT/CCは被害企業に対して被害状況の分析や対策へのアドバイスなどを行うというものだ。だがこのスキームは、有効に運用されたとは言い難かった。企業側が自社のブランドイメージを傷つけかねない不正アクセスについて、よほどの犯罪性がない限りは報告しようとしなかったからである。
こうした企業側の非協力的な姿勢に加え、コンピュータウイルスの跳梁跋扈がますますひどくなり、技術も高度化して「ゼロデー」の恐怖がいよいよ現実になってきたことで、政府は対応の変化を余儀なくされるようになったのである。
■ゼロデーの恐怖
ゼロデーというのは、OSやアプリケーションの脆弱性がベンダから公表され、修正パッチがリリースされる前に、その脆弱性を突いたコンピュータウイルスが出現してしまうことだ。いったん感染を開始すると、その侵入を止める手段は誰も持ち合わせていない。ベンダが修正パッチを大急ぎで作り上げるまでの間、企業や個人はなすすべもなく、ゼロデーウイルスがわが物顔で侵入を繰り返すのを見守っていなければならない。セキュリティ業界にとっては最悪の悪夢と言えるだろう。現時点ではこのゼロデーウイルスは登場していないが、脆弱性の発見からウイルスが登場するまでの期間はここ数年、どんどん短縮してきている。
たとえば2003年1月に猛威を振るったSQL Slammerの場合、その脆弱性情報が公開されたのは2002年7月で、約半年の時間差があった。ところがその後に登場したMSBlastはきわめて短時間で登場し、業界人を驚かせた。このウイルスが悪用したWindows脆弱性「MS03-026」がマイクロソフトから報告されたのは、7月16日。だがそのわずか1週間後の7月25日には、中国のハッカーグループがこの脆弱性を利用したエクスプロイトコードをインターネット上で公表してしまったのである。今年5月に出現したSasserは、さらに短縮された。脆弱性発見から何と6日間で、ワームが現れてしまったのである。
この事態が進行していけば、いずれはゼロデーが跳梁する日がやってくるかもしれない。そのような時代状況にあって、インシデントの事後報告という悠長な対応では追いつかない。経済産業省とJPCERT/CCは2003年から、インターネットの定点観測を行って被害原因をリアルタイムで捕捉するプログラムを開始しているが、さらに抜本的な対策として、ソフトウェアやウェブアプリケーションの脆弱性情報の届け出を受け付けるスキームを考えたのである。7月20日に東京のホテルで開かれた独立行政法人情報処理推進機構(IPA)とJPCERT/CC主催のセミナーで、経産省セキュリティ政策室課長補佐の川口修司氏は、次のように語っている。「2003年4月ごろが境目となり、考え方が変化した。それまでの対策は、しょせんは対症療法的な対応にとどまってきたのではないか。たとえて言えば、水道管がひび割れ、あちこちから水が漏れているが、ひたすらパテを埋めまくることで水漏れを防いできたというのがそれまでの対応だった。しかしそもそも配管そのものがおかしいのではないか、そのうちドカンと壊れて水が漏れ出すのかも知れないという意見が多くなり、だったら抜本的に見直しをしようということになった」
■脆弱性取り扱い制度がスタート
その脆弱性届け出制度は、7月8日からスタートした。
仕組みは、次のようなものだ。
スキーム自体は、経済産業省の「告示」と、それに基づいたJPCERT/CCとIPAが中心のガイドラインの2本立てとなっている。前者は「ソフトウェア等脆弱性関連情報取扱基準」という名称で、いわば今回のスキームに法的な裏付けを与えるものとなっている。後者は「情報セキュリティ早期警戒パートナーシップガイドライン」という名称で、具体的な手続きを詳細に説明している。
手続きは、脆弱性が発見されたのがパッケージソフトウェアか、あるいはカスタマイズされたウェブアプリケーションかによって異なる。前者の場合、脆弱性を発見した者は、まずIPAに関連情報を届け出る。IPAはこの情報をJPCERT/CCに通知し、JPCERT/CCから該当の製品開発者(ソフト開発会社)に連絡が入り、検証を行った上で対策方法を作成し、対策情報ポータルサイト(JVN)が対策情報をとりまとめ、エンドユーザやマスコミ、一般利用者などに情報を公開するという段取りとなる。脆弱性情報の公開日は、取り扱い開始日から「45日後」が目安とされており、仮に製品開発者から検証結果や対応状況の報告がない場合は、その旨を製品開発者の名前とともに強制的に公表するという。
【執筆:ジャーナリスト 佐々木俊尚】
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》