ソフトウェア製品等の脆弱性関連情報に関する取扱規程

ソフトウェア製品等の脆弱性関連情報に関する取扱規程

概要

ソフトウエア製品及びウェブアプリケーションに係る脆弱性関連情報等の取扱いに必要な事項を定めた規程です。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf

イメージ的な説明

ソフトウェア製品等の脆弱性関連情報に関する取扱規程（以下「本規程」という）は、ソフトウェアなどでウイルスや不正アクセスに対する脆弱性（セキュリティホール）を発見したときに受付期間であるＩＰＡに届出すること、ＩＰＡと調整機関であるＪＰＣＥＲＴ／ＣＣが行う事項、ソフトウェアなどの開発者が行う事項などを定めています。

ウイルスに感染したときや不正アクセスの攻撃を受けたときもＩＰＡに届出しますが、それは「コンピュータウイルス対策基準」「コンピュータ不正アクセス対策基準」に基づきます。この規程が対象にしているのは、それらの原因となるセキュリティホール（脆弱性）を発見したときです。また、 製品開発者とはウイルスなどの作成者ではなく、まっとうなソフトウエア製品やウェブアプリケーションの開発者です。

脆弱性は早期に修正しなければなりません。それに対処するため、ＩＰＡとＪＰＣＥＲＴ／ＣＣは「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用しています。本ガイドラインでは、具体的に発見から解決までの手続を示し、発見者や開発者との協力について示しています。

目的（第１条）

本規程は、サイバーセキュリティの確保のため、ソフトウエア製品等の脆弱性関連情報を取り扱う者に推奨する行為を定めることにより、コンピュータウイルス、コンピュータ不正アクセス等によって不特定又は多数の者に対して引き起こされる被害を予防し、これらへの対策を講じ、もって情報の適切な流通の促進を図り、経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現に資することを目的とする。

本既定の対象

ソフトウェア製品等

• ソフトウエア製品
  ソフトウエア又はそれを組み込んだハードウエアであって、汎用性を有する製品をいう。
  
• ウェブアプリケーション
  インターネット上のウェブサイトで稼働する固有のシステムをいう。
  

本規程の適用範囲として
　　日本国内で利用されているソフトウエア製品
　　主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーション
　であり、
　　その脆弱性に起因する影響が不特定又は多数の者に及ぶおそれのあるもの
としています。

脆弱性・脆弱性情報

脆弱性とは「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所（ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。）」のことです。
脆弱性関連情報とは、次に掲げるものをいいます。
　　① 脆弱性情報
　　② 脆弱性が存在することを検証する方法
　　③ 脆弱性を悪用するプログラム、指令又はデータ及びそれらの使用方法

本規程の関係者

発見者

脆弱性関連情報を発見又は取得した者です。

受付機関・調整機関

受付機関とは、脆弱性関連情報の届出を取り扱う機関です。ＩＰＡが担当しています。
受付機関は、法律又はサイバーセキュリティに関する専門的な知識経験を有する者により構成される公表判定委員会を設置します。
調整機関とは、ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行う機関です。ＪＰＣＥＲＴ／ＣＣが担当しています。

製品開発者・ウェブサイト運営者

製品開発者は次のいずれかに該当する者です。

• ① ソフトウエア製品を開発した者
• ② ソフトウエア製品の加工、輸入、販売又は頒布する者であって、当該者の性質及び態様その他の事情に照らして、当該ソフトウエア製品を実質的に開発した者と認められる者

ウェブサイト運営者とは、ウェブサイトを運営する者です。

発見者は、ＩＰＡに脆弱性を届け、届けられた脆弱性関連情報は、ＩＰＡが発見者の窓口となり、関係機関と連絡を取りながら、ＪＰＣＥＲＴ／ＣＣが製品開発者あるいはウェブサイト運営者との間で調整、対応状況の発表などを行うことになります。

ＳＢＯＭ

ＳＢＯＭの概要

ＳＢＯＭ（Software Bill of Materials）とは、ソフトウェアの部品表（ＢＯＭ）のことです。生産分野では製品１個を構成する部品の構成を図化したもので、主に部品の在庫・生産・発注管理の分野で活用されています。
　ＳＢＯＭは、それをソフトウェアに適用したもので、
　　システムを構成するソフトウェア部品（コンポーネント）を体系的に列挙し、
　　それぞれのコンポーネントに関する情報（機能、他コンポーネントとの関係、バージョン管理など）を、
　　統一的な形式のデータベースとして管理し、
　　あるコンポーネントに変更があったときの他コンポーネントへの波及と影響を把握することにより、
　　システムの脆弱性を低減する
ことを主な目的としています。

近年は、クラウド環境やＯＳＳの流通により、多数の開発者によるコンポーネントが複雑に連携してシステムを形成しています。それらのコンポーネントには信頼性保証主体が不明確なすらあります。
　一部のコンポーネントの脆弱性が、社会に広く甚大な影響を与えるリスクが増大しています。

それに鑑み、各国政府や団体ががＳＢＯＭの採用政策をとるようになりました。日本では経済産業省「サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース」が中心となり、普及推進が行われています。

ＳＢＯＭ導入手引き

• 経済産業省「ソフトウェア管理に向けたＳＢＯＭの導入に関する手引 Ver. 1.0 」令和５年（２０２３年）
  https://www.meti.go.jp/press/2023/07/20230728004/20230728004-1-2.pdf
• 同上 2.0 (案) 」令和６年（２０２４年）
  https://www.meti.go.jp/press/2024/04/20240426001/20240426001-2.pdf
• 全体概要
  https://www.meti.go.jp/press/2023/07/20230728004/20230728004-3.pdf

手引の背景・目的

• ソフトウェアサプライチェーンが複雑化し、オープンソースソフトウェア（OSS）の利用が一般化する中で、ソフトウェアにおける脆弱性管理やライセンス管理の重要性が高まっている。
• ソフトウェア管理の一手法として、Software Bill of Materials（ＳＢＯＭ：エスボム）を用いた管理手法が注目を集めている。
• 複数の産業分野における実証を通じ、ＳＢＯＭを活用することで効率的なソフトウェア管理を実施できることが確認できた一方で、実際のＳＢＯＭ導入に際しては様々なハードルが存在することが明らかとなった。
本手引では、ＳＢＯＭに関する基本的な情報やＳＢＯＭに関する誤解と事実を提供するとともに、企業のＳＢＯＭ導入を支援するためにＳＢＯＭ導入に向けた主な実施事項及び導入にあたって認識しておくべきポイントを示す。

ＳＢＯＭ導入の主なメリット

• 脆弱性管理のメリット
  脆弱性残留リスクの低減
  脆弱性対応期間の低減
  脆弱性管理にかかるコストの低減
• ライセンス管理のメリット
  ライセンス違反リスクの低減
  ライセンス管理にかかるコストの低減
• 開発生産性向上のメリット
  開発遅延の防止
  開発にかかるコストの低減
  開発期間の短縮

ＳＢＯＭ導入に向けたプロセス

• １　環境構築・体制整備フェーズ
  1-1. ＳＢＯＭ適用範囲の明確化
  1-2. ＳＢＯＭツールの選定
  1-3. ＳＢＯＭツールの導入・設定
  1-4. ＳＢＯＭツールに関する学習
• ２　ＳＢＯＭ作成・共有フェーズ
  2-1. コンポーネントの解析
  2-2. ＳＢＯＭの作成
  2-3. ＳＢＯＭの共有
• ３　ＳＢＯＭ運用・管理フェーズ
  3-1. ＳＢＯＭに基づく脆弱性管理、ライセンス管理等
  3-2. ＳＢＯＭ情報の管理

これらのステップについて、ＳＢＯＭ導入に向けた実施事項と認識しておくべきポイントが列挙されています。

情報セキュリティ早期警戒パートナーシップガイドライン

https://www.ipa.go.jp/files/000073901.pdf

発見から発表までのプロセスは、本ガイドラインが具体的に示しています。

（流れ図）

一般的な流れ

発見・届出

脆弱性を発見したら、所定の様式で受付機関であるＩＰＡに脆弱性関連情報を届け出します。
この際、発見・取得する際には法令に触れることがないように注意すること、無関係な第三者に漏れないよう適切に管理することが必要です。
届出の際、発見者の連絡先および発見者情報を記載しますが、発見者が希望しない場合、発見者情報は第三者に開示されません。
発見者が直接に脆弱性関連情報を届け出るか否かは発見者に任せられます。

確認・検証

• ＩＰＡは内部の専門家による公表判定委員会、必要に応じて外部の機関の協力を得て届出内容を確認・検証をします。
  該当しないと判断したときは、発見者に差し戻します。
• 脆弱性がソフトウェア製品の場合は、調整機関であるＪＰＣＥＲＴ／ＣＣに連絡します。
  ウェブアプリケーションの場合は、ＩＰＡから直接にウェブサイト運営者と調整に入ります。

調整・報告（ソフトウェア製品）

• 製品開発者は、JPCERT/CCから脆弱性関連情報を受け取ったら、該当製品の脆弱性検証を行って、その結果と対処方法をJPCERT/CCに報告・相談します。また公表も相談します。
  製品開発者は、ＩＰＡ、JPCERT/CCを介し、発見者の了承を得て、発見者と直接情報交換をすることもできます。
• 脆弱性関連情報は悪用を防ぐために、公表日以前に第三者に漏えいしないようにします。しかし、緊急が重要と判断した場合、製品開発者は、JPCERT/CCと調整した上で、製品利用者に脆弱性検証の結果や対応状況を公表前に通知することができます。
• JPCERT/CCは、対応状況の集約、公表日の調整等をＩＰＡに随時連絡します。
  公表日には、ＩＰＡ、製品開発者は、対応方法の情報も併せて公表します。

調整・報告（ウェブアプリケーション）

• ＩＰＡは脆弱性関連情報を該当するウェブサイト運営者へ連絡します。運営者は脆弱性の内容を検証し、その影響を把握し、その結果をＩＰＡに連絡します。
  脆弱性を修正した場合、ＩＰＡに連絡します。
• 通常の脆弱性の場合は公表の必要はありませんが、個人情報が漏洩した可能性がある場合は、運営者は脆弱性の修正後に情報の公表を検討する。

関連事項

ＪＶＮ（Japan Vulnerability Notes）

「情報セキュリティ早期警戒パートナーシップ」に基いて、ＩＰＡおよびJPCERT/CCが共同運営する脆弱性対策情報ポータルサイトです。上述のソフトウェア製品脆弱性のＩＰＡからの公表は、これを介して行われます。(https://jvn.jp/)

外国ソフトウェア製品開発者

ソフトウェア製品を開発した企業または個人が外国の場合、そのソフトウエア製品の国内での主たる販売権を有する会社（外国企業の日本法人や総代理店等）が開発者になります。

連絡のつかない製品開発者

製品開発者の連絡先が不明か適切な連絡手段が存在しない、連絡をとるためにその製品開発者名等を公表することがあります。
それでも連絡が取れない場合、ＩＰＡおよびJPCERT/CCによる「公表判定委員会」での審議を経て、当該脆弱性を公表することがあります。