IPAら、届出から1年以上開発者と連絡がとれない製品の脆弱性情報を公表

情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は9月3日、共同運営する脆弱性対策情報ポータルサイト「Japan Vulnerability Notes(JVN)」において、連絡不能開発者の製品に関する脆弱性情報の公表を開始した。

JVNでは、これまで原則として製品開発者、およびJPCERT/CCとIPAの三者が合意の上で脆弱性情報を公表してきたが、今回、脆弱性をもつ製品の開発者と連絡がとれない連絡不能案件については、JPCERT/CCとIPAが発議し、有識者による公表判定委員会を経て公表することとなった。

JVNでは2011年9月から「連絡不能開発者一覧」を公表し、開発者との連絡の糸口獲得に努めてきた。また、一覧では「開発者情報」の公表から3カ月後に「製品情報」を公表し、情報提供を広く求めている。今回の新たな運用は、それでも開発者と連絡がとれない場合の対処となる。

この公表プロセスでは、不利益を被りうる関係者が意見を表明できる機会を担保し、社会的な影響も思料しつつ、脆弱性を公表しない場合に当該製品の利用者などが受けうる被害と、公表により製品開発者と製品利用者などが被りうる不利益とのバランスを図った取扱いが実現されているとのこと。