脆弱ソフトは全て公表! 利用者の安全のために経産省が法整備を

2015/12/09
脆弱性ソフトのイメージ画像

1020日の日本経済新聞の報道で、経済産業省が「サイバー攻撃を防ぐ対策が不十分なソフトウエアを開発者の了解を得られなくても公表できるようにする」とサイバーセキュリティ強化の新しい考え方を明らかにしました。
経産省所管の情報処理推進機構(IPA)の権限を強化するものですが、同時にIPAの人員増強などの体制拡充策も講ずる方針です。スケジュールとしては、来年の通常国会に昨年成立したばかりの「サイバーセキュリティ基本法」などの関連法の改正案の提出を目指しています。

利用者がソフトウェアの脆弱性を発見した場合、IPAにはその情報を受け付ける窓口があります。その窓口には、毎月相当数の情報が寄せられています。
IPAの専門技術者が調査に動き出すきっかけになる情報で、レベルの高い利用者たちが、いわば「センサー」の役割を果たして脆弱性をチェックしているのです。

IPAはこの仕組みに基づいて約12年で2千件を超すソフトを調査してきました。
ただ、現行の制度が不十分なのは、「サイバー攻撃への対策が不十分」と評価しても、「ソフト開発者の了解を得なければ公表できない」制度になっていることです。いたずらに当該ソフトの評判を落とし、不安を広げないという配慮が優先されてきたのです。

ソフト利用者の安全を優先的に考えた転換

しかし、この方針を転換し、利用者のリスク回避の方を優先して、ソフト利用者から寄せられる情報をもとに専門技術者が動作状況やウイルスに対する耐久力を調べ、感染リスクが高い危険なソフトを全て公表できるようにしていきます。

IPAの公表までには、危険なソフトと判断したソフトについては一度、開発者に対してリスクがあることを利用者に周知させるために公表することを伝え、開発者の了承を得る手続きを踏みます。現行制度では、開発者が同意しない場合には公表できませんでした。

新制度では、開発者が公表に同意しない場合は外部の専門家と協力して再審査し、脆弱性が確認された場合には利用者にリスクを知らせるために、同意なしで公表することができるようになります。

IPAの発表によると、ウイルスなどによるサイバー攻撃は13年の統計で2万7850件を記録し、11年に比べて2年間で3倍に増えました。政府は2020年の東京オリンピック・パラリンピック開催時には世界的なサイバー攻撃の標的にされると警戒しており、それまでの間にサイバー攻撃対策を徹底して広める方針です。個人情報の流出事件やマイナンバーの導入に伴う不安の払しょくにも、サイバー攻撃対策推し進めています。

また、制度変更とサイバー攻撃対策強化のために、ソフト調査などに携わるIPAの人員も現在の170人体制から、約1.5倍の250人程度まで増やす考えで、その中でも、情報流出トラブルが発覚した際に緊急対応にあたる「サイバーレスキュー隊」は今の20人から2.5倍の50人程度と大幅に増やす方向です。

中島 洋
1947年生まれ。東京大学大学院修了。73年日本経済新聞社入社、88年から編集委員。日経コンピュータ、日経パソコンの創刊にも参加。慶応義塾大学教授や日経BP社編集委員などを経て現在、株式会社MM総研代表取締役所長。日本個人情報管理協会理事長など多くの肩書を持つ。

 

所属:株式会社MM総研

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  2. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  3. テレワークとIT業務委託のセキュリティ実態調査-IPA

  4. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  5. ”ウィズコロナ”時代の情シス業務

  6. 【情報セキュリティ10大脅威 2021】ニューノーマルな働き方を狙った攻撃がランクイン-IPA

  7. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #1 セキュリティは何を守るのか

  8. いまさら聞けない【情シス知識】暗号化ファイルのメール添付はなぜ危険!?

  9. シリーズ『IDaaSの教科書』3)徹底解説!SSOの仕組みを理解する

  10. 松田軽太の「一人情シスのすゝめ」#16:RPAやローコード開発を導入検討中の方は要注意

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていな…
  2. 多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握で…
  3. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  4. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  5. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
ページ上部へ戻る