セキュリティ情報サービスにおける情報公開原則

(最終更新:2012年04月01日)


 株式会社イードが運営する ScanNetSecurity をはじめとしたセキュリティ情報提供サービス(以下「当社サービス」と呼称)の情報公開原則は下記の通りです。

 

 なお、当原則は、当社サービスの製作配信にあたっての基本的な考え方をまとめたものであり、情報を利用した場合や、利用しなかった場合に直接あるいは間接的に発生する結果を保証するものではありません。当社サービスは自己責任においてご利用ください。

 

 当原則が株式会社イードの公式Webサイトで公開されている限りにおいて、当社サービスはこの原則にしたがって提供されており、当原則が株式会社イードの公式Webサイトにおいて掲載されなくなった場合は、何らかの理由で異なった原則に基づき当社サービスが提供されるようになったと解されるものとします。

 

1.情報公開原則について

 当原則は、当社サービスにおける、脆弱性、インシデント等の情報内容と掲載時期についての原則であり、情報収集や取材等の当社サービス内部の情報公開に関するものではありません。内部情報は完全に非公開です。また、当原則記載内容はあくまでも、当社の情報提供の立場を整理したものであり、一般論ではありません。

 

1-1 当原則で用いる用語について

 

1-1-1 サービス

 インターネット上で提供されているサービス。意図的であるか否かにかかわらず、インターネットからアクセス可能なサービスを対象とする

 

1-1-2 サービス提供者

 インターネット上でなんらかのサービス提供を行なっている人々、法人。特に断りがない場合、利用者を特定しないパブリックサービスを提供する事業者を想定する

 

1-1-3 利用者

 下記の個人及び法人

 

1-1-3-1 一般個人利用者

(1) サービスを利用している、あるいは、利用する可能性のある個人

(2) サービスに関係するSI等システム関連企業(当該サービス構築企業を除く)

(3) サービスを直接、間接に、開発上利用している、あるいは利用する可能性のある企業

(4) サービスに関するセキュリティ情報を知ることにより、セキュアなシステム構築・運用に役立てることのできる企業

 

1-1-3-2 ユーザ企業システム担当者

(1) サービスを直接、間接に開発上利用している、あるいは、利用する可能性のある企業

(2) サービスに関するセキュリティ情報を知ることにより、開発・運用委託先へのチェック強化等、セキュアなシステム構築・運用に役立てることのできる企業

 

1-1-3 管理者

 サービスのシステム管理を行なう担当者、責任者。ここでは特に運用上の判断を行なう権限を持つ担当者を指す

 

1-1-4 編集部

 当社サービスを企画・実施するプロジェクトチーム

 

1-1-5 読者

 当社サービスの個人・法人利用者。潜在読者も含む

 

1-2 基本的な立場

 編集部は民間企業の一部門であり、利益を実現することが重要な活動目的のひとつです。編集部の利益の中心は、個人・法人読者からの購読料、関連する資料販売、企業からの協賛広告収入です。

 

 これらの利益のうち、編集部は、読者からの購読料および関連資料販売を最重要と位置付けています。そのため、提供する情報の内容は、読者にとって価値があると編集部が判断したものであり、たとえば読者にとって価値はあるものの、広告主にはネガティブな要素を持つ情報だった場合、読者への価値を優先し、当該情報を配信します。

 

 つまり、編集部は、当社サービスの読者に対して最も忠実であり、それ以外の個人・法人・組織・イデオロギー(社会正義や国家安全等を含む)に対しては、優先順位を下げた運営を行なっています。

 

1-3 情報公開原則を公開する理由

 当原則は、当社サービスが配信する情報の当事者および関係者の方々、あるいは扱われる情報の種類や内容の傾向をあらかじめ承知しておきたい読者にとって有益であると判断し、公開されます。

 

 また、編集部に情報提供を行ないたい個人・法人にとっても、当該情報を編集部に提供した後で、どのように扱われるかを、当原則によって確認することができます。

 

 一方、自らセキュリティホールあるいはインシデントを発生させてしまった個人・法人にとっては、その情報がどのような基準で公開されるかを知ることができます。

 

2.情報の種類

 セキュリティ情報の種類を大きくふたつに分けて整理しています。

 

2-1 セキュリティホールに関する情報

 OS、アプリケーション、ネットワークプロトコル等のセキュリティ上の問題に関する情報

 

2-2 インシデント情報

 カスタムアプリケーション、サーバアプリケーションの設定上の問題、情報漏えい、Web改ざん、ウイルス配布、及びそれらにつながる可能性のある設定ミスに関する情報を指します。設定ミスが主として人為的なものによると判断されたものは、インシデントとして扱われます。

 

2-3 セキュリティホールあるいはインシデントであるかどうか判別が難しい情報や実態に関する情報

 たとえば、悪用可能性の低いクロスサイトスクリプティング、メールサーバの不正中継、技術的に可能であるが検証が困難なセキュリティホール等に関して、これらの問題がセキュリティホールでもインシデントでもないと主張するサービス提供者は少なからず存在します。編集部では、なんらかの悪用可能性が存在したり、本来意図しない状態が存在する場合は、セキュリティホールあるいはインシデントとして取り扱います。

 

3.セキュリティホールに関する情報公開

 

3-1 基本的な立場

 主としてサービス運用に供されるサーバアプリケーション(カスタムアプリケーション含む)あるいはOS (以下、総称してソフトウェアプロダクトあるいはシステム)等に関するセキュリティ情報の公開を一定の条件下において行ないます。 一定の条件とは、主として利用者が多く、直接・間接に社会的影響の大きいもので、公開することで多数の読者の利益となると編集部が判断した場合です。

 

 当該ソフトウェアプロダクトあるいはシステムの開発者、提供者(以下、ベンダ)による公表だけでなく、第三者からの情報公開や情報提供も含んで情報公開を行なっています。ベンダによる公表だけによらない情報を公開している理由は下記です。

 

3-1-1 ベンダによる情報が充分ではない場合

 ベンダが問題あるいは影響範囲について、正しく認識できない場合があります。その場合、ベンダが公開した内容だけでは、管理者がその問題と影響度を正しく認識できない危険性があります。

 

3-1-2 ベンダによる情報公開が遅れる場合があります

 ベンダは、充分な対策(パッチ、バージョンアップ等)が準備できない限り、情報公開を行なわないことが少なくありません。しかし、その一方では、ベンダによる情報公開以前に問題の存在が広く知れ渡ってしまうことがあります。ベンダが対処方法を確立できていなくても、なんらかの対処方法がある場合は、情報公開を行なうことで管理者が危険に対処することが可能となります。たとえば、当該アプリケーションやサービスの利用を停止することも、その対処のひとつです。

 

3-1-3 ベンダが情報公開しない場合があります

 理由は不明ですが、ベンダが情報公開を行なわない場合があります。危険が存在する以上、管理者は知る必要があります。誰も知らなければ、危険は存在しないわけですが、今日、誰も発見しない可能性は低いと考えた方がよいでしょう。既知のセキュリティホールでありながら、ベンダから正式な発表のないものも確かに存在します。上記のようなことがある限り、複数の視点での情報収集と整理、検討が管理者にとっては必要となります。

 

3-2 公開の基準

 特定のソフトウェアプロダクトあるいはシステムに関するセキュリティホールは、下記の基準で情報公開を行います。

 

3-2-1 ベンダ、CERT 等外部機関が公開しているセキュリティホール

 情報入手時に公開します(ベンダ、セキュリティベンダ、各国CERT、BUGTRAQ 等)

 

3-2-2 掲示板、メーリングリスト、個人メディアで指摘されたセキュリティホール

 当該ベンダへの連絡および確認や、複数の情報ソースによる確認、社内での検証等、当該情報以外の複数の方法で確認がとれた場合に公開します。また、ベンダにおける対処が確認された場合(あるいは逆に、一週間以内にベンダが対処を実施する可能性が低いことが確認された場合)公開を行います。

 

3-2-3 第三者から編集部に報告されたセキュリティホール、あるいは編集部が独自に発見したセキュリティホール

 編集部での検証(可能な範囲で)後、ベンダにその内容を連絡します。ベンダの対応スケジュールを確認の上、そのスケジュールにあわせて、セキュリティホールの公開を行ないます。

 

4.インシデントに関する情報公開

 

4-1 基本的な立場

 一般的に、利用者にとって顕在的、潜在的なリスクを知ることは重要なことです。にもかかわらず、多くのインターネットサービスは、利用者に対して、サービスを利用するにあたって起こりうるリスクを充分には開示していません。開示しない理由には、意図的に開示を行なっていない場合とサービス提供者の知識が不十分なため開示の必要性を感じていない場合があります。

 

4-1-1 確信犯的に情報開示を行なっていない場合

 自社製品のメーラーにセキュリティホールが存在しているにも関わらず、その危険性をメーラー利用者に明示せず、「セキュリティ強化」のためのアップデートモジュ-ルとして配布したベンダがありました。「セキュリティホールへの対処」と「セキュリティ強化」とでは、緊急度、重要度等が異なる上、その危険性の内容についてもベンダからの情報はありませんでした。

 

4-1-2 開示の必要性に気が付いていない場合

 サービスの潜在的な危険性について利用者に明示的に告知しているサービスはありません。利用者がリスクについて、適切な判断を行なえるようにこうした危険性はあきらかにすべきであると考えます。

 

4-1-3 共通して言えること

 上記のいずれの場合でも利用者にとっては、リスク情報が開示されていません。一方でインターネットの利用は自己責任と言いながら、一方で自ら判断するために必要な情報を開示していないために、リスク判断ができない状態での利用を強要することになります。これは利用者にとって、好ましいことではありません。

 

 リスク判断のための情報開示には、過去のインシデント記録も含まれるべきであると編集部では考えています。

 

 たとえば、個人情報の漏洩あるいは悪用可能性の高い設定ミス(実際に事件は発生する前)に関する情報も利用者にとってはリスクを判断する上での有益な情報です。

 

 個人情報を何度も漏洩するサービスに個人情報を登録する利用者は少ないでしょう。これは利用者の判断によるリスク回避です。しかし、個人情報を漏洩した事件が過去にあったことが公開されていなければ、利用者はリスクを回避する行動をとることができません。

 

 一般のサービスでは、火災、食中毒、詐欺事件等インシデントは公開されますが、それにより、危険な店あるいは危険な商品を回避するという利用者はリスク回避行動をとることができます。インターネット上でも、そうあるべきと考えます。

 

 もうひとつのポイントとして、こうした多くのインシデント情報が公開されることにより、利用者はインターネット利用にともなって存在するリスクを認識することができます。現在のインターネットの利用には、リスクがともない、インシデントが発生した際に、個人の権利や利益を守る制度は確立されていません。利用者が自己責任で利用するために、こうした状況についての情報は不可欠と考えられます。

 

 これを総合的に判断し、編集部では、一般のインターネットサービス利用者に影響があるインシデント情報は、正しくリスクを認識させ、各々にとって適切な行動を判断するために必要不可欠と考えています。

 

 多くの場合、サービス提供者は、影響の有無と大きさについての判断を甘くしがち(利用者に影響はほとんどなく、したがって情報公開は不要)であり、利用者側は逆の考えを持ちます。当然のことながら、利用者は判断のための情報が多いほど、より正しい判断ができると考えます。

 

 多くの場合、サービス提供者は、影響の有無と大きさについての判断を甘く(利用者に影響はほとんどなく、したがって情報公開は不要と考え)しがちであり、一方利用者側は受ける影響を深刻に捉え、情報公開は必要という逆の考え方をします。

 

 編集部は、前者の立場をとっています。つまり、可能な限り多くのインシデント情報を利用者に提供する立場をとっています。これは編集部が利用者(個人、ユーザ企業、SI事業者)からの収益を事業の柱としているためです。

 

4-2 公開の基準

 

4-2-1 サービスの主体者が情報公開している場合

 情報入手時に公開します。

 

4-2-2 掲示板、メーリングリスト、個人 WEB で指摘されたインシデント

 サービス提供者への連絡および確認、複数の情報ソースによる確認、社内での検証等、当該情報以外の複数の方法で確認を行ないます。なお、編集部が情報の整理、検証を終えた時点で対処が完了している場合は、サービス提供者への連絡を割愛することもあります。

 

 サービス提供者における対処が確認された場合(あるいは1週間以内に対処を行わないことが確認された場合)、公開を行います。

 

 情報の連絡から情報公開までのスケジュールは、サービス提供者への連絡時点から3時間から24時間を目安に情報公開を行ないます。時間が短いのは、すでに問題が一般に公開されており、緊急の対処が必要であるためです。サービス提供者側の対応完了までの間、利用者は危険な状態であることを知らずに利用する可能性があることになります。一般に悪意ある攻撃者は一般の利用者よりも、情報収集に熱心であり、悪意ある攻撃者が公開されているセキュリティホールを一般利用者よりも先に知り、攻撃を開始する可能性は少なくありません。これは、利用者にとって大きなリスクです。

 

 個人情報流出事件の多くは、個人情報が広範に盗まれてから、対処が完了するケースが少なくありません。

 

 サービス提供者が多数の場合、編集部だけではサービス提供者への連絡等に対応できません。このような問題に対処することが期待される官公庁あるいは外郭団体に連絡を行なうことで、個別対応にかえることがあります。こうした機関が意味のある対応を行なうか、どうかは、わかりませんが、少なくともリスク情報をインターネット上で開示することにより、利用者はリスク回避行動をとることが可能になります。

 

4-2-3 独自に発見あるいは第三者から連絡のあったインシデント

 サービス提供者に連絡の上、情報公開を行います。可能な限り、サービス提供者の対応スケジュールにあわせた形で対応します。

 

 サービス提供者が多数(3件以上)にわたる場合、および連絡が困難であると想定される場合、関連機関への連絡をもってかえることもあります。

 

 社会的影響が低く、利用者にもたらすリスクも低い場合、編集部では確認したインシデント情報をサービス提供者に連絡せず、一般公開しないことがあります。利用者にとってのリスクが低いことと、公開の前提となるサービス提供者への直接、間接の連絡業務の工数が多く見込まれるため、対応する人手が不足することが予測されるためです。編集部は有償で編集部の提供する情報を購入していただいている読者からの収益に支えられています。編集部のリソースにも限りがあり、かつ読者の方々からの収益を有効活用するために社会的影響が大きいと思われるものを優先しております。

 

5.セキュリティホールあるいはインシデントであるかどうか判別が難しい情報

 

5-1 基本的な立場

 悪用可能性の低いクロスサイトスクリプティング、メール不正中継可能性、検証が困難なセキュリティホールが、これにあたります。情報公開することは、利用者にとってのメリットにつながるという認識のもと、情報公開します。

 

5-2 公開基準

 悪用可能性の低いクロスサイトスクリプティング、メール不正中継可能性、技術的に可能であるが検証が困難なセキュリティホール等は、検証および悪用可能性を実証するためには、編集部自身が法的もしくは倫理的に不正なアクセス行為を行なう必要が生じることがあります。そのような場合には、編集部では確認することはできません。しかし、もし、問題が顕在化した場合、利用者は不利益を被る可能性があります。言葉を変えれば、グレーな情報であっても事前に可能性を知ることができれば利用者は危険回避行動をとることができるということになります。

 

 悪用可能性の低いクロスサイトスクリプティング、メール不正中継可能性、技術的に可能であるが検証が困難なセキュリティホール等の問題について、セキュリティホールでもインシデントでもないと主張するサービス提供者の方がいますが、編集部では、読者のメリットを基準として判断し公開します。サービスを利用している可能性のある読者やサービスに関係している読者の数と影響度が読者のメリットを判断する基準になります。

 

 また、特定のカスタムアプリケーションによるサービスに問題があった場合、技術的に可能であるが検証が困難なセキュリティホールの存在が推定されることがあります。しかし、カスタムアプリケーションの場合、検証するために、実際に稼動しているサービスにアクセスと解析を行なうか、まったく同じ環境を構築してテストするしか方法のないことがあります。これは事実上、関係者以外には検証ができないことを示しています。しかし、まったく情報公開を行なわない場合、利用者はリスクのある可能性について対応することができません。なんらかの表現、方法、検証されている問題以上のリスクがある可能性について情報公開が必要であると考えます(あくまでも一部問題が検証されている場合に限ります)。

 

 上記の問題について、サービス提供者が多数の場合、編集部だけではサービス提供者への連絡等に対応できません。このような問題に対処することが期待される官公庁あるいは外郭団体に連絡を行なうことで、個別対応にかえることがあります。

 

6.その他のセキュリティ関連情報

 

6-1 基本的な立場

 特定のサーバのアプリケーション名やバージョン情報=たとえば利用者がよく利用しているサービスのサーバあるいはアウトソースしているレンタルサーバのサーバの管理状態の情報は、利用者が自身の安全を確保するために役立つ情報となります。情報公開することは、利用者にとってのメリットにつながるという認識のもと、情報公開します。

 

6-2 公開基準

 国内のサーバやサービスの管理水準の実態に関する情報は、ほとんど公開されておりません。インターネット上で不特定多数が利用可能なサービスは、パブリックサービスであり、パブリックである以上、一定の管理を行なうことは必要であり、その管理状況は公開されてしかるべきであると考えます。公開したくない場合は、インターネット上で不特定多数に公開せず、特定の人しか利用できないサービスにすればよいのです。パブリックサービスとして公開している以上、アクセスしてわかる範囲の情報は、公開すべきであると考えます。

 

7.情報に誤りがあった場合の対応

 編集部から提供した情報に誤りがあった場合、編集部では訂正記事を配信いたします。正確で誤りのない情報をお届けすることよりも、迅速にお届けすることを優先しています。そのため、まれに誤りが含まれることがあります。

 

 あきらかな誤りではない場合、主体者と編集部で見解の相違が存在します。編集部では、このような場合、編集部で確認した内容と事件主体者の主張する内容を併記する形をとります。事件主体者の主張は、常識的な分量(2,000字以内)と内容(第三者への誹謗中傷がない、公序良俗に反しない等)に問題がない限りそのまま掲載いたします。また、あきらかな誤りでない場合の記事削除や変更は決して行いません。

 

以上