こんにちは。
ITソリューション事業本部　システムアセスメント部のぼんじりです。

今日は脆弱性を発見した際に届け出る、IPA（独立行政法人 情報処理推進機構）の「脆弱性関連情報の届出受付」制度について紹介したいと思います。

【目次】
•脆弱性とは？
•脆弱性関連情報の届出受付とは？
•届け出の対象
•届け出に関して留意すべきこと
•脆弱性が公表された後
•おわりに

⚫︎脆弱性とは？
脆弱性とは、OSやソフトウェア、あるいはWEBサイト等に存在する、プログラムの不具合や設計上の不備によって発生するセキュリティ上の欠陥のことです。私たちが普段利用しているパソコンやスマートフォン、WEBサイト等に脆弱性が存在する場合、ウイルスの感染や不正アクセスといった被害に発展するおそれがあります。
脆弱性には、脆弱性情報を一意に識別することができるCVE 番号というものが付与されます。このCVE番号は、米国MITRE 社が管理運営を行っている、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)である「CVE」に収録された脆弱性情報を一意に識別するために割り当てられる番号であり、CNA（注1）によって脆弱性情報の公開前に割り当てられます。特定のCVE 番号を調べたい場合は、米国国立標準技術研究所（以下、NIST）のNVD（注2）やIPAのJVN（注3）で検索が可能です。
注1：CVE 採番機関
注2：NISTが管理している脆弱性管理データのリポジトリ
注3：日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供しているサイト

⚫︎脆弱性関連情報の届出受付とは？
　それでは個人で脆弱性を発見した場合、どのように対応したらよいのでしょうか。様々な対応がありますが、その１つとして本記事で紹介しているIPAへの「脆弱性関連情報の届出」があります。制度の内容について、IPAのサイトには以下のような記載があります。
脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004 年7月8日から経済産業省の告示に基づき策定された情報セキュリティ早期警戒パートナーシップガイドラインに則り運用しています。
引用元：https://www.ipa.go.jp/security/vuln/report/
　届け出の方法には２種類あり、WEBフォームから届け出を行う方法と、電子メールで行う方法があります。

⚫︎届け出の対象
届け出の対象は下記2点です。
①ソフトウェア製品脆弱性関連情報
②ウェブアプリケーション脆弱性関連情報
また、ベンダーによっては自組織で独自に届け出を受け付けているケースもあるので、そちらもご確認いただくと良いと思います。

⚫︎届け出に関して留意すべきこと
最終的に製品開発元またはWEBサイト運営者に対して届け出情報が連携されるので、届け出を受けた側が、実際に脆弱性が存在するかどうかを確認しやすいように、脆弱性を確認した際のキャプチャやログファイルの提出、再現手順の詳細な説明などを心がけると良いでしょう。
また、届け出たからといって必ずしも脆弱性と認定されるわけではない点も留意しておくべきです。発見者の中には、そのことに不満を持って独自に公開するケースも散見されますが、その情報が悪用される可能性もあるため、むやみやたらに公開することは控えた方が良いでしょう。

⚫︎脆弱性が公表された後
　自身が発見した脆弱性に関する情報をブログやSNSで共有したいと思うかもしれませんが、その際、脆弱性を確認した際のキャプチャやログファイル、また再現手順の詳細を共有する場合は注意が必要です。
脆弱性を確認するための情報は、場合によっては悪用される可能性があるため、その点に注意して取り扱う必要があります。詳細は、IPAの情報セキュリティ早期警戒パートナーシップガイドラインのページにある「資料のダウンロード」を参照いただければと思います。

⚫︎おわりに
　前項で紹介したNVDやJVNを確認すると分かりますが、脆弱性というのは日々公表されており、その中でも危険な脆弱性については、世界的な規模で攻撃に悪用されるなどしております。自組織や自身で利用している製品に関する脆弱性情報が公表されていないか定期的に確認し、必要であればアップデートなどして対応しましょう。
もしくは、セキュリティベンダーによる定期的な脆弱性診断によって、脆弱性が無いか確認することも対策の１つとなります。弊社では、「早く」「広く」「安く」に主眼を置いたWEBアプリケーション診断サービス「SCUVA」を提供しております。脆弱性診断をご検討される際には、是非ご用命ください。

今回はこちらで終了です。
最後までお読みいただきありがとうございました。