国の脆弱性対策情報マニュアル公表

　ソフトウェアは、マイクロソフト「ワード」、サンマイクロシステム「ジャバ・ウェブ・スタート」などを例として、脆弱性が後から問題になるのはよくあること。時に脆弱性製品は社会に深刻な影響を与える。そこで、ソフトウェアやウェブサイトの製品開発者による脆弱性対策情報公表のマニュアルが、経済産業省所管・独立行政法人「情報処理推進機構」（以下IPA）から発表された。IPAについては、IT業界で有名な国家資格である「初級システムアドレーダー」「システムアナリスト」など、情報処理技術者の試験実施機関としておなじみであろう。正式名称「ソフトウェア製品開発者による脆弱性対策情報マニュアル」は、学識経験者、弁護士をはじめ、NTTデータ、NEC、セコムなど、有力企業の担当者が参加する「情報システム等の脆弱性情報の取扱いに関する研究会」（座長:中央大学土居範久教授）の審議を踏まえ作成されたものである。

　注目すべきは、官民一体となった研究会において、関係者の合意の上で作成された脆弱性対策情報のマニュアルという点である。つまり、様々な利害をもつ関係者全ての合意があるという点で、同種の他のものより信頼性が高いと考えられ、今後、法的問題が生じた際、有力な客観的参考資料として裁判所で採用されるものとなりうるということなのだ。本マニュアルに関してIPAセキュリティセンターの渡辺氏に話を聞いたところ、「製品開発者に対し、利用者に的確な脆弱性対策情報を提供していただく事を望んで、公表の手順を一つの方針として示しております。従いまして本手順が慣習法となれば良いと考えます」とのこと。

　同マニュアルには、ふさわしい脆弱性対策情報の記載すべき項目や、情報公表の見本例、ウェブサイトのトップから対策情報へユーザーを誘導する方法の望ましい例、望ましくない例が具体的に記されている。例えば、トップページから階層が深くなるなどして、わかりにくい対策情報の表示は相応しくないとされた。

　そして、脆弱性の脅威や回避策の詳細な情報を求めるシステム構築者のニーズと、脆弱情報の該当する欠陥商品の確認やわかりやすい対策の手順を望む一般ユーザーのニーズの違いに、対応した情報を公表すべきとの記載がされている。

　「消費生活用製品のリコールハンドブック（製品安全研究会）」というリコール対策本を参考に作られたが、使用しなくても法的責任は問われない。しかしながら、製品開発者が、同マニュアルに沿わない不十分な対策情報のリリースを出すと、結果として、ユーザーからの信頼を失い、プレイヤーとして退場を余儀なくされるであろう。尚、詳しくは、IPAホームページで公開しているので、ぜひ一度参照してもらいたい。