情報セキュリティ早期警戒パートナーシップ改訂、情報非開示依頼の取下げが可能に
2011年3月29日(火曜日)
情報セキュリティ早期警戒パートナーシップ改訂、情報非開示依頼の取下げが可能に
公開: 2011年4月2日23時55分頃
情報セキュリティ早期警戒パートナーシップが改訂されました……「「情報セキュリティ早期警戒パートナーシップガイドライン」の2010年版を公開 (www.ipa.go.jp)」。
「情報非開示依頼の取下げ」という手続きが追加されていますね。
11)情報非開示依頼の取下げ
IPA は、起算日から1 年間以上経過した届出について、発見者から情報非開示依頼の取下げが求められた場合、これを取り下げます。そのとき、製品開発者が正当な理由により対応に時間を要する場合、IPA はその状況を取下げを求めた発見者に適切に説明し、発見者が情報開示の必要性を客観的に判断できるようにします。
以上、情報セキュリティ早期警戒パートナーシップガイドライン Ⅳ.ソフトウエア製品に係る脆弱性関連情報取扱 3.IPA およびJPCERT/CC の対応 (1)IPA 11)情報非開示依頼の取下げ より
IPAに届け出た脆弱性関連情報は、公開しないように求められます。脆弱性が修正されるなどして取扱終了になると、公開できるようになります……が、困るのは、なかなか修正されずに取扱が続くケースです。こういう場合にどうするのかは前から問題になっていて、それを受けて今回、このような手続きが用意されたのでしょう。
これを使えば、あんなサイトの脆弱性が公表できる……と思って早速メールしてみたのですが、情報非開示依頼ができるのはソフトウェア製品の脆弱性だけで、ウェブサイトは対象外とのこと。確かに、言われてみればソフトウェア製品のところにしか書かれていないですね。これは失礼いたしました。
ちなみにこの制度、4月1日から運用開始となるそうです。それ以前に届け出られたものについては、2011年の4月1日を「起算日」として計算するそうで。実際に取り下げが可能になるのは2012年の4月からですね。
なお、ウェブサイトの脆弱性に関しては発見者からの取り下げ依頼は出来ないものの、扱いが長期化しているものについては随時取扱い終了としていく予定であるようです。
※IPAから何十回も修正を促されているのにシカトしているような人は、それなりに覚悟しておいたほうが良いかも。
- 「情報セキュリティ早期警戒パートナーシップ改訂、情報非開示依頼の取下げが可能に」にコメントを書く
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 崩壊と半減期
- 次(新しい): 反原発と推進派の二項対立という分析は妥当なのか
