IPAが脆弱性の公開ルールを緩和し、脆弱性の対策の有無に問わず積極的に公開していくようです。

プレス発表　届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新たな運用を開始

 

IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）は、発見・届出された脆弱性のうち、届出から1年以上開発者と連絡がとれないソフトウェア製品の脆弱性が1割弱存在することから、脆弱性情報を公開する、新たな運用を開始しました。

変更した内容は、今まで問題視されていた開発者に連絡できないこと、それによって問題のあるソフトウェアを脆弱性に気付かずに使い続ける利用者がいたことです。

これは結局、脆弱性が解消されていない状態で公開することで、悪意のある人間からの攻撃を増やしかねないという懸念があったことによるルールでしたが、この問題視されているケースの方を重要視した形かと思われます。

（提供元：IPA）

このルール改正には賛成ですね。

ソフトウェア開発者の中には開発後提供して、保守・運用をしないケースや、やめてしまうケースはかなりあるかと思われますが、その利用者がその提供元の状況を知らないケースも多いと思います。

更新情報が来たらアップデートする、という運用は多くみられますが、この落とし穴がまさにこのケースで、提供者が保守をやめていた場合と脆弱性が発生しておらず更新がないことの見分けがつかないからです。

ですのでソフトウェアの管理担当者が気を付けることはもちろん更新情報をチェックすることに加え、IPAやJPCERTもしくは開発者の公式ページも定期的にチェックすることです。

知らず知らずのうちにセキュリティ被害にあわないように、運用ルールの確認をしてみましょう。