脆弱性情報取り扱い説明会
- 開会挨拶(経済産業省)
- ソフトウェア等脆弱性関連情報取扱基準とガイドラインの概要説明(経済産業省情報セキュリティ政策室川口修司氏)
- 脆弱性情報流通体制における受付、分析機関の役割について(IPAセキュリティセンター福澤淳二氏)
- 調整機関の役割(JPCETR/CC伊藤友里恵氏)
- 日米調整機関の協力関係について(CERT/CC Jeff Havrilla氏)
- 日英調整機関の協力関係について(NISCC Mark Oram氏)
- 情報公開ポリシーと対策情報流通体制について(JVN)(JPCETR/CC寺田真敏氏)
- 脆弱性情報取扱の具体的事例紹介(JPCETR/CC鎌田敬介氏)
- 製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(JEITA脆弱性情報検討WG宮地利雄氏)
- 質疑応答
- 開発拠点が海外にある場合は?
- 二重作業にならないよう、各CERT間で調整する。日本語で公表が必要なものについては、日本で対応願いたい。
- ユーザーから直接、クレームをもらい、自社については対応したが、他社にも問題があると思われる場合の扱いは?
- 一般発見者と同じ立場で、IPAに報告を願いたい。
- 受付時間は?
- メール、FAXは24時間だが、実質は業務時間である09:30〜18:15になる。
- クライテリアはどうなるのか?
- 考慮する。
- 同時公開が原則ということだが、各国間の時差はどうするのか?
- 各国、同時刻に公開。TCPの場合は、英国時間で4月21日12:00だった。土壇場で20時間、繰り上がったが。日本でのプライオリティが高い事案については、日本にとって都合のよい時間になるよう調整する。
- SIベンダーは、早期に情報入手が可能か?45日の間にテストができるようにして欲しい。
- どこまで提供関を広げるかは、難しい問題。検討中である。SIベンダーの場合、ユーザーの了承がないとテストできないので、秘密保持をどうするかという問題がある。
- 45日ルールと情報がリークされた場合の取扱いは?
- 45日は、一つの目安。情報がリークされれば、原則、直ちにadvisoryを出す。
- ガイドラインの法的根拠は?
- 特にない。経済産業省としてこうして欲しいということを書いただけ。個人情報が漏れた場合には、事実を公表するという方針が政府の取り組みとしてある。
- 脆弱性が公表されると、政府の各機関から問い合わせが来るが、これも一元化されるのか?
- 各機関と情報を共有しながら進めて行きたい。
- 開発拠点が海外にある場合は?