世間では、ワクチンの予約システムについて新聞社が、実際の接種券にはない架空の数字を入力しても予約可能だと報じたことに関して、脆弱性の開示の枠組を遵守すべきではないか、といういい方をする人もでており「脆弱性の開示の枠組」に興味が増しているように思います。そこで、この「脆弱性の開示の枠組」を正確に理解してもらうために基礎的なお話をまとめます。
ソフトウエアの脆弱性を不特定多数に開示する前に、そのソフトウエアの開発者に連絡することが求められていますという考え方は、いわゆる「協調的な脆弱性の開示(CERTのガイドを紹介しておきます-https://resources.sei.cmu.edu/asset_files/SpecialReport/2017_003_001_503340.pdf)」といわれています。なお、この「協調的な脆弱性の開示」に関する論点を紹介したドキュメントに「情報システム等の脆弱性情報の取扱における法律面の調査 報告書 改訂版」(平成31年度)」(以下、法律面報告書といいます)があります。この報告書においては、いろいろな論点が検討されるとともに、早期警戒パートナーシップ制度における法的な記述についての逐条解説がなされています。
歴史的な流れのもとでは、1990年代に、「完全開示」と「責任ある開示」の議論がありました。法律面報告書の1ページです。そこで、我が国では、
2003年度に独立行政法人 情報処理推進機構において脆弱性情報取扱ガイドラインWGが設立・運営された。当該WGにおいては、脆弱性情報に関して、上記の過程におけるルートが明らかではないことによって、本来は、ソフトウエアの開発者、流通者、ウェブサイトの作成者およびその責任者、開発関係者などによって、その脆弱性情報が適切に共有されて、早急にその脆弱性に対して対策がなされるべきであるにもかかわらず、共有がはかられず、脆弱性に対する対応が遅れがちになったり、その脆弱性情報が、悪意ある者の間でのみ共有されることになったりしてしまっていると考えられ、それに対して望ましいルールが提唱されるべきであると提言された。
という経緯を経て、2004年に経済産業省の「ソフトウエア等脆弱性関連情報取扱基準」告示(平成16年経済産業省告示第235号、なお、以下、平成16年告示という)とそれに基づく「情報セキュリティ早期警戒パートナーシップガイドライン」が定められて、当該パートナーシップの運営が開始されています。
この早期警戒パートナーシップガイドラインの枠組のイメージは、英語ですみませんが、
です。研究者等が発見して(左上)、IPAに届け出、そして、jPCERT/CCが調整機関として関係者の調整を図るという枠組です。
我が国では、この試みが2004年から始まっているのですが、世界的には、日本がもっとも早くから開始したスキームということになります。法律面の報告書でも紹介しているようにISO/IECとして、「情報セキュリティ-セキュリティ技術 脆弱性取扱過程(ISO/IEC 30111:2013 Information technology — Security techniques — Vulnerability handling processes)」、脆弱性開示については、「情報セキュリティ-セキュリティ技術 脆弱性開示(ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure)」が制定、公表されるようになったり(同3頁)と先進的な試みだったりします。
現在の法的な背景は、経済産業省 平成29年度告示第19号 「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」になります。この規定でわかるように
脆弱性
コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)をいう。
と定義されています。法律面報告書では、7頁以下で説明がなされています。基本的には、
(1)不具合であること-プログラム等が意図した結果をもたらさない状態であること(2)セキュリティに関すること-少なくても、その「不具合」が、電子計算機の運用に関する機密性、インテグリティ、可用性に関連するものであること、(3)(1)の不具合が、外部からの攻撃を誘引するものであること(4)(2)および(3)に関連する(1)を引き起こす要因または事項であることの4つ観点が必要である。
と解説しています。(原文は、保全性ですが、インテグリティに変更)
でもって、「電子計算機の運用に関する機密性、保全性、可用性に関連するものであること」というのは、情報セキュリティの三要素に対する侵害であること、ということになるのですが、では、頭書のような事案ではどうなの?ということになります。
実際の接種券にはない架空の数字を入力して予約する行為が、「機密性」や「インテグリティ」を侵害するものなのか?ということになります。どうも、予約の仕組み自体は、予約券の番号に関係なく「アクセス」ができて、予約がなされる、という仕組みであったようなので、この要件の要素を満たすといえるかは、微妙なような気がします(要は、早期警戒パートナーシップの射程外という感想)。
ちなみに、アクセス制御との関係では、「 脆弱性にかかわる法的側面について」(著者 高橋 郁夫)シリーズ名 特集 情報社会における脆弱性にかかわる研究動向 ; 脆弱性を克服するために情報処理 : 情報処理学会誌 : IPSJ magazine(2005-06)を紹介しておきます(IPSJ論文といいます)。
でもって、業務妨害や名誉棄損などとの関係はどうなるの、ということになると、一般の報道活動が、どのような部分で許容されるのか、という一般的な問題になってくることになります。法律面の報告書では、25ペー以下で検討されているところです。IPSJ論文では、660頁ですね。要は、具体的な状況のもとでのバランスということになります。
IT関係者ですと、「脆弱性の協調された開示」の枠組を絶対視する傾向があったり、一方、メディアの自由を重視する立場の人は、「脆弱性の協調された開示」というチャレンジが長い歴史をもっていて、支持されているという事実をことさらに無視する傾向があったりするように思えます。実際の問題は、この二つの立場の間の具体的なバランスに、重要性があるということになります。その意味で、今回の話は、具体的な状況に
It depends on(依拠する)
ことになるね、ということなのだろうと思います。
そういえば、2019年には、「(28)公表前の脆弱性の報道を考える(2019年9月17日)」という小論も書いていたりします。
