1.
「協調された脆弱性開示
の現在と未来」導入
国際パネルディスカッション
（JPN）板橋博之（Information Promotion Agency）
（EU）Lorenzo Pupillo, Ph.D.（Associate Senior Research Fellow - GRID Unit、
Head of the Cybersecurity@CEPS Initiative）
（US）Allan Friedman, PhD（Senior Advisor and Strategist、Cybersecurity &
Infrastructure Security Agency）
コーディネイター 高橋郁夫(駒澤綜合法律事務所/弁護士)

2.
脆弱性の意義
• 定義
• 日本の早期警戒パートナーシップの定義
• 「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能
や性能を損なう原因となり得る安全性上の問題箇所（略）」
• ISO/IEC 27000:2009, 2.46, modified
• 「悪用されうるソフトウエア、ハードウエア、オンラインサービスの弱点」
• 現代における意義
• サイバー脅威の契機-「燃料」
• 誰にとっての契機なのか
• 犯罪者/国家支援行為者
• 政府

3.
協調された脆弱性開示
完全開示の原則
• 悪意ある攻撃者は、脆弱性情報をす
でに知っており、攻撃者のテクニッ
クをすべての人が知りうるのがベス
トである
• ベンダは、脆弱性情報が、ひとたび
公開されてしまえば、脆弱性につい
てのバグを隠すことはできない
• 脆弱性の情報を公開することは、将
来におけるよりよいシステムをつく
るために必要である
• 脆弱性情報は、発見者の自身の財産
である、という概念は、積極的な意
味を持ちうる
責任ある開示
• 脆弱性の大多数は、脆弱性を解消する
という目的よりも、自己の力量の顕示
などの公開すること自体が目的である
という動機によって導かれて調査され、
公開される
• 脆弱性を公開するにも効果的な他の方
法が有り得る
• より良いシステムを作るためといって
も脆弱性情報の詳細を教えたりテスト
したりする必要はない

4.
協調された脆弱性開示の現在
日本 欧州 米国
現在 • 早期警戒パートナーシッ
プ(2004-)
• PSIRTの啓発活動
• 国家機関の積極的な媒介
機能
• 「協調された脆弱性開示のポ
リシー」
• 国ごとにまちまちな対応
• 例 先進的なベルギー、オラ
ンダ、フランス
• 法的事件と発見者の保護の動
きとの調和
• 政府の活動
• FTC (連邦取引委員会)や
IoTにおける規制当局の動
き
• 研究者とベンダーとの協力
• 法執行機関による「活用」
世界的動向 • 国家の安全保障とサイバーセキュリティとのより密接な関係
• バグバウンティプログラム
• ISO 等による標準化
• ISO/IEC 29147:2018120 Information technology -- Security techniques -- Vulnerability disclosure
• ISO/IEC 30111:2013 Information technology -- Security techniques -- Vulnerability handling processes
• RFC9116 セキュリティ脆弱性開示支援のためのファイルフォーマット