ハッカーたちの間では、セキュリティ向上のために研究を共有することの重要性が何年も前から知られていた。一方、協調して脆弱性を開示することの重要性も、世界中の政府によってますます認識されるようになってきた。情報開示とセキュリティ研究者の保護という原則は国境を越えて共通であるものの、国によって重要な違いがある。本パネルでは、重要な公共政策や企業の行動に影響を与える可能性のあるグローバルな視点を提示する。 ENISAは、2022年4月に「EUにおける脆弱性開示政策の調整」を発表した。本報告書では、EU加盟国における脆弱性開示の協調政策の現状を客観的に紹介するだけでなく、中国、日本、米国における脆弱性開示の運用を紹介している。それらを踏まえて、協調的な脆弱性開示プロセスに望ましい要素やベストプラクティスの要素を検討し、その後、課題や問題点について議論する予定。 本報告書の内容を共有し、日本における運用の課題と今後の方向性、米国における国家安全保障と脆弱性対応の課題を、各法域の代表者とのパネルディスカッションで明らかにすることを目的としています。 パネリストは、日本では早期警戒パートナーシップ通知機関の実務に携わる方々、欧州では上記報告書の執筆者、米国では上記報告書の寄稿者 日本では、脆弱性対応における体制意識、インセンティブ、未処理案件の増加、いわゆるトリアージなどの課題が紹介される予定 米国からは、国家安全保障のための脆弱性情報の開示方針（Vulnerabilities Equities Process）、脆弱性研究の不起訴方針の公表などを紹介するとともに、この問題の歴史的背景を紹介する。 パネルディスカッションを通じて、脆弱性開示政策を取り巻く国際情勢や今後の動向、特にサイバーセキュリティにおける脆弱性の重要な役割とそれを取り巻く社会が抱える課題について参加者に理解していただくことを目的とする。

1. TLP:WHITE（ホワイト
January 3, 2023
C I S A | C Y B E R S E C U R I T Y A N D I N F R A S T R U C T U R E S E C U R I T Y A G E N C Y
協調された
脆弱性の
開示
米国における進捗状況
1
アラン・フリードマン（PhD

2. TLP:WHITE（ホワイト
January 3, 2023
 米国の政策はCVDと研究者の重要な役割を受け入れており、障壁を低くしようとし
ている。
 既存の法律が研究者に有利になるように解釈される
 米国政府の政策により、民間の情報公開が促進される
 「CVE Numbering Authority(CVE(共通脆弱性識別子) 番号付与機関)」プログラム（
CNA）は、組織が世界中の研究者と協力することを支援するものです
いっしょくたにする
2

3. TLP:WHITE（ホワイト
January 3, 2023
 コンピュータ不正行為・濫用防止法
 意図的に「無権限で」または権限を超えてコンピュータにアクセスすることを禁止してい
る。
 最近では、主にインサイダーによるデータの不正利用に利用されている
 デジタルミレニアムコピーライト法
 ソフトウェアへのアクセスを防ぐために「迂回防止」規定を使用（1201条）
研究者に影響を与える既存の法律
3

4. TLP:WHITE（ホワイト
January 3, 2023
朗報です。
4

5. TLP:WHITE（ホワイト
January 3, 2023
 司法省の検察官のためのガイダンス（2022年）
 善意のセキュリティ・リサーチは起訴されるべきではないことを指示する。
 善意：セキュリティ上の欠陥や脆弱性を善意でテスト、調査、修正する目的でのみコンピ
ュータにアクセスすることを意味し、そのような活動はいかなる損害も回避するように設
計された方法で実施される場合。
 DMCAの "免除 "は継続的に拡大されている
 セキュリティ研究のための明示的なカーブアウト
 医療機器
 陸上車両（自動車）
 オープンソースソフトウェア
研究者保護に関する進捗状況
5

6. TLP:WHITE（ホワイト
January 3, 2023
C I S A | C Y B E R S E C U R I T Y A N D I N F R A S T R U C T U R E S E C U R I T Y A G E N C Y
CVE番号付与機関(CNA)
6

7. TLP:WHITE（ホワイト
January 3, 2023
7
 CNAとは？
o CVEプログラム
o 脆弱性情報公開におけるCNAの役割
 誰がCNAになれるのか？
o 組織の種類
o 国別パートナー
o 構造
 CNAになるには？
o 必要条件
o プロセス
 なぜCNAになるのか？
CVEプログラム
CNAアジェンダ

8. TLP:WHITE（ホワイト
January 3, 2023
CNAとは？- CVEプログラム
8
CVE Numbering Authorities（CNA）。
合意した範囲内の製品に影響を及ぼす脆弱性に CVE ID を割り当て、入力する権限を持つ組織
CVE（Common Vulnerabilities and Exposures）プログラム。
 CVE-IDとは、一般に知られているサイバーセキュリティの脆弱性に対して、CVE Numbering Authorities（CNA）
が付与した一意の共通識別子です。
 CVEプログラムは、MITREが管理し、CISAが資金を提供し、コミュニティ（ベンダー、エンドユーザー、研究
者など）が脆弱性を発見し登録することに依存しています。
 CVEプログラムの方向性を決定するCVE Boardは、世界各国の産学官の代表者で構成されています。
 CVEワーキンググループは、プログラムのポリシーを策定し（CVEボードが承認）、コミュニティに
公開されています。

9. TLP:WHITE（ホワイト
January 3, 2023
CNAとは？- CNAの役割
9
脆弱性発見
脆弱性コーデ
ィネート
CVE-IDの割り当
て
脆弱性の開示
CNAが脆弱
性を認識す
る
脆弱性関連
ステークホ
ルダーとの
調整
CNAによる
CVE IDの割
り当て
脆弱性と
CVEレコー
ドを公開

10. TLP:WHITE（ホワイト
January 3, 2023
CNAとは？- 組織の種類
10
CNAは、世界中のさまざまな業種のどのような組織でもなることができ、最低限の条件があり、金銭的な手数料や契約は
必要ありません。
CNA：224｜CNA-LR：2｜ルート：3｜トップレベル・ルート：2
 ベンダーとプロジェクト
o 現在198名
o 例：マイクロソフト、シーメンス
 国内および業界のCERT
o 現在、11名が参加
o 例：スペイン、日本
 バグバウンティプログラム
o 現在、7名が参加
o 例：ゼロデイ・イニシアチブ、HackerOneなど
 ホスティングサービス
o 現在、3名が参加
o 例：ピンアイデンティティ株式会社、キャリアグロ
ーバル株式会社
 脆弱性研究者
o 現在43名が参加
o 例：AppCheck Ltd.、ASRG(Automotive Security
Research Group)

11. TLP:WHITE（ホワイト
January 3, 2023
CNAとは？- 国別パートナー
11
•オーストラリア：2
•オーストリア：1
•ベルギー：1
•カナダ：5
•チリ：1
•中国：10
•コロンビア：1
•チェコ共和国：1
•デンマーク：1
•エストニア：1
•フィンランド：3
•フランス：3
•ドイツ：10
•インド：4
•アイルランド：1
•イスラエル：4
•日本：9
•ラトビア：1名
•オランダ：5
•ニュージーランド：1
•ノルウェー：1
•ルーマニア：1
•ロシア：2
•シンガポール：1
•スロバキア共和国：1
•韓国：4
•スペイン：4
•スウェーデン：2
•スイス：6
•台湾：7
•トルコ：3
•イギリス：6
•米国：122
•ベトナム：1

12. TLP:WHITE（ホワイト
January 3, 2023
12
CNAとは？- 構造

13. TLP:WHITE（ホワイト
January 3, 2023
必要条件
1. 脆弱性公開のポリシーを持つ。
o https://vuls.cert.org/confluence/display/CVD
2. 新しい脆弱性の開示のための公開ソースを持つ。
3. CVEプログラム利用規約に同意する。
CNAになるには？- 必要条件
13

14. TLP:WHITE（ホワイト
January 3, 2023
CNAになるには？- プロセス
14
プロセス

15. TLP:WHITE（ホワイト
January 3, 2023
なぜCNAになるのか？
15
シー・エヌ・
エー
制御
- CVE公開
セキュリティ
- パッチ開発
ステークホル
ダー
コンフィデンス
- 成熟した脆弱性対策
コミュニケーショ
ン
- お客様に対する予防
コミュニティ
責任
- サイバーエコシステ
ムの強化
参加方法
- 脆弱性管理

16. TLP:WHITE（ホワイト
January 3, 2023
誤解されていること
16
1. 脆弱性を報告しすぎるのは良くない。
2. CNAになるには、かなりのオーバーヘッドが必要です。

17. TLP:WHITE（ホワイト
January 3, 2023
17