水無月ばけらのえび日記

取り扱い終了の場合

IPA に届け出た脆弱性の全てが「修正」されるかというとそうでもなく、以下のような場合は修正されないまま「取り扱い終了」となることがあります。

• セキュリティ上の問題ではないと判断された場合
• ウェブサイト運営者と連絡が取れなかった場合

ところで、情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)や、経済産業省の告示「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号) の内容を見ると、脆弱性の発見者は「脆弱性が修正されるまでの間」脆弱性関連情報が第三者に漏れないようにするべき旨が書かれています。

これを素直に読めば、前者は脆弱性ではないということで問題ないとしても、後者は修正されていない脆弱性なわけですから、いつまで経っても公開できないという事になりそうですね。それで良いのかしら……。

• 「取り扱い終了の場合」にコメントを書く

関連する話題: セキュリティ / IPA