脆弱ソフトは全て公表! 利用者の安全のために経産省が法整備を
- 2015/12/9
- セキュリティ
- サイバーセキュリティ
- 脆弱ソフトは全て公表! 利用者の安全のために経産省が法整備を はコメントを受け付けていません
10月20日の日本経済新聞の報道で、経済産業省が「サイバー攻撃を防ぐ対策が不十分なソフトウエアを開発者の了解を得られなくても公表できるようにする」とサイバーセキュリティ強化の新しい考え方を明らかにしました。
経産省所管の情報処理推進機構(IPA)の権限を強化するものですが、同時にIPAの人員増強などの体制拡充策も講ずる方針です。スケジュールとしては、来年の通常国会に昨年成立したばかりの「サイバーセキュリティ基本法」などの関連法の改正案の提出を目指しています。
利用者がソフトウェアの脆弱性を発見した場合、IPAにはその情報を受け付ける窓口があります。その窓口には、毎月相当数の情報が寄せられています。
IPAの専門技術者が調査に動き出すきっかけになる情報で、レベルの高い利用者たちが、いわば「センサー」の役割を果たして脆弱性をチェックしているのです。
IPAはこの仕組みに基づいて約12年で2千件を超すソフトを調査してきました。
ただ、現行の制度が不十分なのは、「サイバー攻撃への対策が不十分」と評価しても、「ソフト開発者の了解を得なければ公表できない」制度になっていることです。いたずらに当該ソフトの評判を落とし、不安を広げないという配慮が優先されてきたのです。
ソフト利用者の安全を優先的に考えた転換
しかし、この方針を転換し、利用者のリスク回避の方を優先して、ソフト利用者から寄せられる情報をもとに専門技術者が動作状況やウイルスに対する耐久力を調べ、感染リスクが高い危険なソフトを全て公表できるようにしていきます。
IPAの公表までには、危険なソフトと判断したソフトについては一度、開発者に対してリスクがあることを利用者に周知させるために公表することを伝え、開発者の了承を得る手続きを踏みます。現行制度では、開発者が同意しない場合には公表できませんでした。
新制度では、開発者が公表に同意しない場合は外部の専門家と協力して再審査し、脆弱性が確認された場合には利用者にリスクを知らせるために、同意なしで公表することができるようになります。
IPAの発表によると、ウイルスなどによるサイバー攻撃は13年の統計で2万7850件を記録し、11年に比べて2年間で3倍に増えました。政府は2020年の東京オリンピック・パラリンピック開催時には世界的なサイバー攻撃の標的にされると警戒しており、それまでの間にサイバー攻撃対策を徹底して広める方針です。個人情報の流出事件やマイナンバーの導入に伴う不安の払しょくにも、サイバー攻撃対策推し進めています。
また、制度変更とサイバー攻撃対策強化のために、ソフト調査などに携わるIPAの人員も現在の170人体制から、約1.5倍の250人程度まで増やす考えで、その中でも、情報流出トラブルが発覚した際に緊急対応にあたる「サイバーレスキュー隊」は今の20人から2.5倍の50人程度と大幅に増やす方向です。
カテゴリー: