IPA「重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開」

IPAから「情報システム等の脆弱性情報の取扱いに関する研究会」における2016年度の活動成果としてとりまとめた報告書や、情報セキュリティ早期警戒パートナーシップガイドラインの改訂案などが公開されました。

当社代表取締役高橋郁夫は、この研究会のメンバとして、これらの報告書に関わっております。

特に、報告書においては、
「 IoTの脆弱性を巡る法制度の整理に関する調査
7.1. 調査の概要
7.2. 調査結果」
にたいして、強く関与しているところです。

「電力事業者への優先情報提供の実現に向けた調査報告書」においては、WGのメンバーとして
「脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書」においては、主査として
それぞれの報告に関わっています。

詳しくは、それぞれの報告書を参照いただきたいとところですが、特に高橋の関与した部分について、これらの報告書のポイントを述べると、以下のようになるかと思います。

(1) IoTの脆弱性を巡る法制度の整理に関する調査

IoTについては、セキュリティに関する関心と安全に関する関心が交錯する点が注目に値すること、そして、従来の安全基準(保安基準)等に、情報セキュリティの要素が、どのように影響をきたすのか、その物について個別に検討する必要があること、というのが重要になります。生命・身体・財産の損害(環境も含みうる)に対するハザードから免れている状態(安全)という見地から、IoTを考えることが重要です。
「(1)電気通信手段によって(2)接続されている(3)モノの(4)安全/セキュリティに関する(5)規範的側面」について考察しています。法律としては、あくまでも「物」が考察の対象になっていること、それが、電気通信手段によって接続されることによって、従来の安全に対する基準がどう変更するのか、変更されるべきか、というのを考察しています。

報告書としては、適用可能性のある法律、その安全に関する基準をあげているにとどまっており、しかも、基準の適用についても外観的なものにとどまっていますが、広範囲な分野にわたった考察している点に特徴があります。また、電力、医療関係については、近時、具体的な考察がなされていることもあり、特に参考になるのではないかと考えます。

(2)電力事業者への優先情報提供の実現に向けた調査報告書
電力事業の安全に影響を及ぼす脆弱性情報というのについても、いろいろなものがありますが、電気設備にせよ、事業者の一般的な義務にせよ、優先的に提供しうる場合を設けて、まずは、動かしていきましょうというアプローチをとったという点が特徴的なものです。

(3)脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書

これについては、早期警戒パートナーシップの制定された2003年時点においては、脆弱性という用語それ自体になじみがなかったし、それとソフトウエアの欠陥との違いというのも意識して議論されていることがありませんでした。また、開発者において、脆弱性をできるかぎり解消した製品を社会に提供するのが望ましいものであるという認識も非常に乏しかったといえます。
発見者から、脆弱性の報告を受けたからといって、むしろ、製品に対して何かクレームをつけられているかのような対応をとる開発者もいたと思われます。

しかしながら、現在においては、脆弱性のもたらすセキュリティ上の脅威が社会においても許容しうるものではないと認識されるようになってきました。開発者が、積極的に、脆弱性の届出受け付けの窓口をもうけるようになってきています 。また、脆弱性を見つけてもらうこと対して報奨金が提供されることも見受けられます。

そもそもから考えるときに、ソフトウエアが脆弱性なく安心して使えることは、現代社会においては、本来であれば、他の性能などと総合的に正当に評価されるべきひとつの要素です。ソフトウエアの利用者が、その開発者のセキュリティに対する積極的な対応姿勢などをも踏まえた総合的な判断をベースにソフトウエアを選択し、すぐれたものが社会に受け入れられるようになり、その一方で、脆弱性対応などに劣ったソフトウエアは、利用者の評価で劣ったものとして支持をうしなうものとなって、社会で利用されなくなり淘汰されるというのが望ましい姿でしょう。

このようなあるべき姿にむけて、社会においてプログラムにおいて脆弱性を減らしていこうという意識が高まっているというのは、きわめて重要な動きであるということができます。このような現状を前提に、早期警戒パートナーシップは、どうあるべきか、脆弱性と社会的なインパクトを合わせて、「影響度」ととらえて、その影響度から、調整活動を臨機応変に対応するということでいいのではないか、そのような方向性が変えていくべきではないか、という提案です。

関連記事

  1. CODE BLUE Speakers
  2. ドイツにおける通信の秘密についての適法性確認規定および政府による…
  3. 国連GGE2020-21報告書速報を分析する-タリンマニュアルを…
  4. 情報システム等の脆弱性情報の取扱いにおける報告書
  5. CyConX travel report Day Two Due…
  6. 急増するIoT機器への攻撃、対策に不可欠な法的整備とは?
  7. ケネス・ギアス「ロシア・ウクライナ戦争におけるコンピュータ・ハッ…
  8. 国連のロシア連邦のウクライナ侵略に対する総会決議(2022年3月…
PAGE TOP