各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
欧州Cyber Resilience Act(CRA)や、JC-STAR(セキュリティ要件適合評価及びラベリング制度)を筆頭に、昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業において脆弱性開示ポリシー(Vulnerability Disclosure Policy:VDP)に対する検討、整備が進んでいます。VDPは脆弱性および/あるいはその報告者に対する企業のスタンスを示すものであり、報告者との間のコミュニケーションを行う上での前提となります。したがって、VDPの内容が不十分であった場合、企業と報告者間における認識の相違に伴うさまざまなリスクが生じる可能性があります。本稿では、特にホワイトハッカー(バグハンター)を中心とした外部有識者からの脆弱性報告に対応する上で想定されるリスクと、企業がとるべき戦略について解説します。
脆弱性開示ポリシーが未定義、または不十分な場合に想定されるリスク
脆弱性報告窓口の設置は、多くの企業が既に対応済みですが、VDPついては公開有無も含めて企業ごとにさまざまです。窓口に報告をする報告者は、その時点では善意の報告者であると推測することができ、企業としても自社製品に対する未知の脆弱性を発見・報告してくれた報告者に対しては敬意を持って接することが大前提であり肝要です。
しかし、バグハンターのようにプロアクティブに企業の脆弱性を探索するタイプの報告者であった場合、VDPのようなルールが定められていないことで、企業が想定していない範囲やアプローチで脆弱性を発見し、報告してくるケースが想定されます。このように、報告者はさまざまな背景、属性を持っており、それが結果としてさまざまなリスクにつながることがあります。
以下は、VDPが定義されていない、定義されていたとしても内容が不十分だった場合に想定されるリスクの例です。
- 一貫性のない報告による脆弱性対応リソースの浪費
- 報告者ごとに異なるフォーマットや情報の粒度で脆弱性が報告された場合、その対応をするために、報告者とのコミュニケーションを含む多くの時間を浪費することになります。
- 対応に時間をかけることは、後述する「報告者の期待との不一致」が起こり不満につながる可能性の他、第三者によって脆弱性が発見され、悪用される可能性も高まります。
- 期待値や認識の相違による想定外の報告者の要求・行動
- 報告者によっては、報奨金などの対価の他、脆弱性情報の外部公開(例:論文発表など)の許可を求める可能性があります。
- 脆弱性の対応プロセス(いつ・だれが報告を受領し、対応を完了させる/させたのか)が不透明だった場合、報告者は企業の脆弱性対応に不満や不誠実さを感じ、こうした対応が外部に公開される他、最悪の場合、脆弱性情報の流出につながるなど、企業の印象、評判に影響を与える可能性があります。
- 意図しない範囲またはアプローチによるテスト
- 企業が想定しない、許可していないドメインやシステムに対して無許可でテストが実施される可能性があります。その結果、クライアントに提供しているサービスの停止や機密情報の漏えいなど、事業に影響を与える問題が生じかねません。
- 製品によっては、ハードウェアおよびソフトウェアのリバースエンジニアリングによって脆弱性が発見され、その過程において報告者は独自技術を含む知的財産などの機密情報を得る可能性があります。
こうしたリスクには、脆弱性開示ポリシーを策定することで一貫した対策ができます。ただし、前述のとおり報告者にはさまざまなタイプが存在し、それぞれが異なる考えを持っているということに留意して対応に当たる必要があります。
脆弱性開示ポリシーの基本フレームワーク
脆弱性開示ポリシー(VDP)とは、企業や組織が外部からの脆弱性報告を受け入れるためのガイドラインを提供する文書を指します。このポリシーは、脆弱性の報告者に対して、企業や組織がどのようにその報告を受け取り、対応するかを明確にし、企業と報告者のリスクを最小限に抑えつつ、脆弱性を迅速かつ効果的に修正するための協力関係を構築することを目的としています。
VDPは、ISO/IEC 29147:2018※1 で標準化されており、一般的な構成要素には以下のようなものがあります。
1. 導入
- ISO/IEC 29147:2018では定義されていませんが、VDPを公開している多くの企業・組織では、序文や「はじめに」といった形式で対応組織(PSIRTなど)の紹介や、VDPに関する背景情報、概要説明を行っています。
2. 報告方法
- 脆弱性の報告をするための手順を示します。これには、報告用のフォームや連絡先情報、安全なコミュニケーションのための方法(例:PGP公開鍵など)が含まれます。
3. 報告者への期待
- 報告者が従うべき行動指針や期待されるマナーを示します(機密情報の取り扱いの他、脆弱性を悪用しない、パッチ適用前の外部公開はしないなど)。
4. スコープ
- 報告および修正対象となる製品やシステム、サービスを明確にします。
5. 報告された脆弱性の対応プロセス
- 企業がどのように報告を受領し、どのようなプロセスやタイムラインで対応するかを示します。この要素は、ISO/IEC 29147:2018ではオプション要素として記載されていますが、企業・組織と報告者間における期待値相違を防ぐための有効な要素の1つといえます。
- 脆弱性が対応された際の公開プロセスについて示します。公開については、自社ウェブサイトでの公開の他、情報処理推進機構(IPA)※2 への届け出による脆弱性対策情報(JVN)※3 での公開や、共通脆弱性識別子(CVE)※4 採番対応などが考えられます。特に後者については任意ではありますが、報告者にとってモチベーションの1つとなっている可能性が考えられますので、その方針を明らかにしておくことが望ましいです。
6. 法的な保護(セーフハーバー)
- 前述の報告者への期待を含む、VDPで示す条件を遵守している善意の報告者に対して、法的な行動・責任を求めないことを示します。
- ISO/IEC 29147:2018においてこの要素はオプション要素として定義されていますが、例えば米国のサイバーセキュリティ・社会基盤安全保障庁(CISA)では、BOD 20-01(Binding Operational Directive 20-01)に基づくVulnerability Disclosure Policy Template※5 において、「Authorization」という項目で定義しており、テンプレートの文章をそのまま維持することを強く推奨しています。
7. 報奨金制度等に関する情報
- 企業によっては、報奨金制度を運用しており、報告者に対して報酬を提供することを明記しています。
- 一部企業では、報告者に対する報酬以外の対価として以下を採用している場合があります。
- ウェブページ上にクレジットと謝辞を掲載(例:Hall of Fame、Wall of Thanks)
- オリジナルグッズの提供
- プライベートプログラムへの招待
脆弱性報奨金制度の活用
脆弱性報奨金制度(Bug Bounty Program:BBP)とは、自社の製品やサービスに存在する脆弱性を発見した報告者に対して、企業が報奨金を支払う制度を指します。
この制度は、脆弱性の発見、報告にインセンティブを与えることで、自社の製品やサービスに対して、よりプロアクティブにセキュリティを向上させることを目的としています。
BBPはVDPを前提に運用され、報奨金の支払い条件などについては、さらに詳細なルール(対象製品および脆弱性の種類、複雑さなどによる支払金額および追加報酬の設定など)が設けられることが一般的です。
BBPは企業や組織が独自に運用する他、いくつかのセキュリティベンダーから提供されている、専用プラットフォームを活用する方法があります。なお、BBPを運用した場合、報奨金という報告者にとって明確なモチベーションが生じることで、運用していない場合と比較して報告件数がかなり増大することが予想されることから、事前に脆弱性の対応プロセスの運用体制を整備しておくことが重要です。
また、BBP運用にあたっては報奨金という報告者に対する明確な利益が生じることから、それに伴うリスクを考慮すべき場合があります。以下は想定される代表的なリスクの例です。
- 制裁国・地域の法域に居住している報告者への報奨金の支払い
- VDPに従わない金銭支払い要求
こうした例を含むリスク分析および対応については、法務部門などの法律の専門家に相談のうえで判断し、必要に応じてあらかじめBBPのポリシーに明記しておくことが望ましいです。また、BBPはVDPの延長線上に存在する制度であると考えるべきで、報奨金はあくまでVDPおよびBBPのルールに基づいて脆弱性を発見、報告してくれた善意の報告者に対するインセンティブになります。したがって、発見された脆弱性はVDPに基づいたプロセスで適切に対応、開示されるべきであり、逆にこうしたポリシー、ルールに則っていない報告者あるいは報告者による不当な要求行為(例:脆弱性情報や脆弱性の悪用によって不当に得た機密情報と報酬の引き換え要求など)は、明確に支払いの対象外となる旨を示すとともに、インシデントとしてしかるべき対応をする必要があります。
製品セキュリティ法、国際規格なども推奨事項に
欧米をはじめとする主要国では製品セキュリティ法制定時に、脆弱性情報がダークウェブで売買されることを防ぐ有効な方法として、企業にBBP導入を積極的に推奨しています。例えば、欧州の製品セキュリティ法であるサイバーレジリエンス法は、協調的なVDPの一環としてBBP導入を製造者に勧めています※6 。同じく、欧州ネットワーク・情報セキュリティ機関(ENISA)は、欧州サイバーセキュリティ法第55条(1)※7 と欧州共通基準に基づくサイバーセキュリティ認証制度(EUCC)第33条(2)※8 の解釈として2025年1月に公開した「脆弱性の管理と開示に関するガイドライン(EUCC SCHEME‐GUIDELINES ON VULNERABILITY MANAGEMENT AND DISCLOSURE)」において脆弱性情報を受け取る有効な方法として、BBP導入を推奨しています。その他、米国国防総省※9や、サイバーセキュリティ・社会基盤安全保障庁(CISA)※10でも、BBP導入しています。
また、2021年に中国で制定された「インターネット製品脆弱性管理規定」など、脆弱性の報告について推奨しているものの、脆弱性の開示、報告などそのプロセスを厳格に管理している国・地域があるため、事業展開国・地域における脆弱性管理関連の法規制を確認しておく必要があります。
まとめ
グローバル主要国において製品セキュリティに関する法制度が進められており、脆弱性管理は法的義務化の傾向にあります。また、サイバー攻撃が日々増加する中で消費者もセキュリティサポートの高い製品を望むようになっています。製造者は、自社製品に潜む深刻な脆弱性をいち早く把握し、効果的に対応するために、脆弱性開示ポリシーの整備と報奨金制度の活用が考えられます。
一方、脆弱性開示ポリシーと報奨金制度の不備により、脆弱性対応に伴う社内リソースの浪費、事業に影響を与える可能性のあるテスト実施、報告者からの想定外の要求などといった思わぬリスクも生じますので、法令、国際規格、ベストプラクティスなどの要件を考慮した戦略的な対策が必要です。
※1 https://www.iso.org/standard/72311.html
※2 https://www.ipa.go.jp/security/todokede/vuln/uketsuke.html
※5 BOD 20-01: Develop and Publish a Vulnerability Disclosure Policy, https://www.cisa.gov/news-events/directives/bod-20-01-develop-and-publish-vulnerability-disclosure-policy
※6 Cyber Resilience Act、https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847、2025年3月19日閲覧
※7 Cybersecurity Act、https://eur-lex.europa.eu/eli/reg/2019/881/oj/eng、2025年3月19日閲覧
※8 European Common Criteria-based cybersecurity certification scheme (EUCC)、https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R0482&qid=1707312751025、2025年3月19日閲覧
※9 Vulnerability Disclosure Program Overview、https://www.dc3.mil/Missions/Vulnerability-Disclosure/Vulnerability-Disclosure-Program-VDP/、2025年3月19日閲覧
※10 Vulnerability Disclosure Policy (VDP) Platform、https://www.cisa.gov/resources-tools/services/vulnerability-disclosure-policy-vdp-platform、2025年3月9日閲覧
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
Loading...
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
Loading...
IoT適合性評価制度が作るセキュアなIoT社会
Loading...
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
IoT製品に対するセキュリティ適合性評価制度とは―IoT製品・サービスを提供する製造業へのインパクト―
2022年11月から経済産業省の産業サイバーセキュリティ研究会にて「IoT適合性評価制度」の議論が始まりました。IoT製品のセキュリティ品質に投資し、認証マークによってそのセキュリティ品質の高さをユーザに訴求するIoT製品提供者の増加が期待されます。
セキュリティラベリング制度が作る新しいIoT社会―3つのDで進む セキュアなIoT
2024年9月末に独立行政法人情報処理推進機構は、IoT機器のセキュリティレベルを評価、可視化する「セキュリティ要件適合評価及びラベリング制度」を公開しました。安心・安全な製品の普及促進のために、今後期待されるセキュアなIoT社会について解説します。
Loading...
PSIRTが認知すべき海外法規制と企業実務の論点
Loading...
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート
2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。
ソフトウェアセキュリティリスクに対応するSBOMを企業全体でどう活用するか
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
オーストラリアサイバーセキュリティ法 ―製造業者がこれから取るべき対策―
オーストラリアサイバーセキュリティ法では、製品セキュリティにかかるセキュリティスタンダードへの準拠義務や身代金支払い報告義務などが定められています。製造業者や販売者の義務と、対応を効率化するためのアプローチについて解説します。
Loading...
