EUにおける協調された脆弱性開示ポリシ
(Coordinated Vulnerability Disclosure Policies
in the EU)
Code Blue Security Conference, Tokyo 27-28 October 2022
Lorenzo Pupillo CEPSアソシエイト上級研究員、
Cybersecurity@CEPS Inititiative代表、CEPS、ブリュッセル
1

ENISA Study 2021
ENISA: Project Officers
• Marnix Dekker
• Evangelos Kantas
• Slawomir Bryska
CEPS: Research Team
• Lorenzo Pupillo
• Carolina Polito
• Francesco Campoli
Wavestone Research Team
• Nick Conway
• Aude Thirriot
• Thiago Barbizan
• Solène Drugeot
• Cristian Michael Tracci
2

アジェンダ
協調された脆弱性開示の現状
• EU構成国の現状
• 非EU構成国の現状
協調された脆弱性開示(CVD)ポリシについての主たる
事実
• 脆弱性取扱とCVDプロセスの重要度
• CVDポリシーとCVDプロセスの要素に関するグッド
プラクティス
CVD国家ポリシに関する課題と問題点の概要
• CVDポリシに関する課題と問題点
• インタビュー参加者が共有したCVDポリシの課題を
克服するための提案
3

協調された脆弱性開示の
現状
(CURRENT STATE OF PLAY OF
CVD POLICIES)

EU構成国の現状 (1/3)
EU環境は、断片的に進展している
中で、複数のEU構成国が国内CVD
政策の策定を進めているが、その
ペースはまちまちである。
ベルギー、フランス、リトアニア、オランダはCVD
政策を導入している。
4カ国が政策実施の途上にある。:政策立案者レベル
で検討されているか、パイロットプロジェクトで試
験中である。
5

EU構成国の現状 (2/3)
• 10の加盟国が国内CVDポリシを実施しようとし
ている途上である。しかし、政治的あるいは立
法的なレベルでの合意形成に失敗し、プロセス
の妨げとなっている。
• 最後に、9カ国はCVDポリシを実施しておらず、
その確立のためのプロセスもまだ始まっていな
い。
6

EU構成国の現状 (3/3)
EU環境は、断片的に進展し
ている中で、複数のEU構成
国が国内CVD政策の策定を進
めているが、そのペースは
まちまちである。
欧州におけるCVDポリシの実施
7

協調された脆弱性開示
(CVD)ポリシについての主
たる事実
(KEY FINDINGS ON CVD
NATIONAL POLICIES)

脆弱性取扱ライフサイクルと
CVDプロセスの重要度
• 発見(discovery)：脆弱性の有害性を
低減するためには、誰かが最初に発
見しなければならない。
• 取扱(Handling):脆弱性が製品のコー
ドに存在する場合（コードの脆弱
性）、「コードの所有者(owner)」が
緩和策を開発し、全ユーザーに配布
する必要がある（「脆弱性の取
扱」）。
• 管理(Management)：脆弱性が情報
システムにおいて（システムの脆弱
性）、設定ミスや緩和策（多くの場
合パッチ）の未適用である場合、
「システムオーナー」が管理する必
要があります。すなわち、できるだ
け早くパッチを適用したり、システ
ムや製品の設定を変更したりする必
要がある。
• 公開(Disclosure)： ほとんどの場合、
コード脆弱性情報は、一般に公開さ
れるか、少なくともセキュリティコ
ミュニティや対象となる利用者
(audience)に公開される必要がある。
9

CVDポリシとCVD
プロセスの要素
に関するグッド
プラクティス
CVDポリシーの内容
• CVD ポリシは、関係者の相互の義務を含む(shall)
べきである、即ち
• コンピュータシステムへのアクセス権限（プロポー
ショナル）
• 脆弱性を報告するために必要な情報
• 守秘義務
• 手続上の期限(90日以内)
• 連絡経路
• セキュリティ研究者への報奨金
• 一般公開
10

CVDポリシとCVDプロセスの要
素に関するグッドプラクティス
構成国は、実施した一連の手続きについて、ベストプラクティスとみなされるべき事項を強調している
• 2つの標準の参照:ISO/IEC 2914741（脆弱性の開示）およびISO/IEC 3011142（報告された脆弱性の処理手順）。
• ボトムアップアプローチ(オランダ)
• ベンダーとの会話
• 倫理的ハッカーのコミュニティとの親和(Familiarise with )
• 情報の遮断(Insulate the information)
• OECDの勧告/グッドプラクティスの実施
• 共通セキュリティアドバイザリーフレームワークの採用
11

CVDプロセスの要素を
ズームアップ
• 関与する主体：国家 CERT および/または国家サイバーセ
キュリティ当局の役割： （オブザーバまたは中心的役
割）。
• ツール：専用ウェブサイト、チケットシステムの導入、カ
スタムツール（Cuckoo Sandbox）、検証ツール（Burp
suite）、警告・情報システム（Common Security Advisory
Framework）、特に多人数プロセスにおけるコミュニケー
ションツール、オープンソースの情報ソフトウェアによる
脆弱性発見
• 意識向上キャンペーン リトアニア:Cybersec Breakfast、オ
ランダ：The Netherlands: Hack right
• 運用・クライシスマネージメント活動
12

CVD国家ポリシに関する課
題と問題点の概要
(OVERVIEW OF CHALLENGES AND
ISSUES ON CVDNATIONAL POLICIES)

•CVDポリシ
に関する課
題と問題点
課題の概観
Overview of the
challenges
14

法的課題
(LEGAL CHALLENGES)
• 刑法: サイバー犯罪条約によると、コンピューターシステムに意図的に無権限でア
クセスすることは犯罪となる。
• 著作権法 ：開示された情報が著作権のあるコードの一部を含んでいる場合、研究者
は著作権法に違反するとされうる。ただし、脆弱性の所有者は、セーフ・ハーバー
を定めることも含めて免責事項を定めることができる。
• データ保護法：脆弱性を発見した研究者は、個人データにアクセスする可能性があ
り、データ保護法違反とされうる。
• 契約法：バグバウンティポリシーや、場合によっては脆弱性開示ポリシーは、脆弱
性所有者と研究者の間の契約条件を表しています。契約条件に違反した場合、研究
者は法的責任とリスクを負うことになります。
• 脆弱性を発見するために使用するツールや知識に輸出管理に関する法律や規則が適
用される可能性があるため、研究者の法的リスクとして引用されることがよくある。
15

その他の課
題
経済的課題
(Economic Challenges)
政治的課題
(Political challenges)
 脆弱性とソフトウェア市場のダ
イナミクス
 利害関係者間の協力関係の欠如
 セキュリティ研究者がCVDプロ
グラムに参加するための市場イ
ンセンティブが限定的である。
 セキュリティ研究者の多くは、
民間企業に雇用された専門家で
はなく、活動家である。
 CVDポリシを実施するためのリ
ソースとスキルの不足
 CVDポリシの実施と運用にかか
るコストは、相対的に影響が小
さいと考えられている
• トップダウン・アプローチ
とボトムアップ・アプロー
チ
• 政府の役割
• 不完全なサイバー犯罪
と知的財産の枠組みの
アップデート
• CVDポリシの支援と実現
• CVDポリシの確立を率先
して行う（政府内での
CVDの適応など）
• 民間セクターの役割
• リーダーかフォロワー
か？
16

課題を克服
する
(Overcome the
challenges)
法的課題の克服(Overcome the Legal Challenges)
• 脆弱性発見が犯罪につながるとされることに関する2つの質問。
• 脆弱性の発見が犯罪に関連する可能性がある状況（実質的）。
• 脆弱性の発見に関連する犯罪が訴追されるために満たすべき条件（手続的な
もの）。
• ブダペスト条約(サイバー犯罪条約)によれば、「無権限のアクセスのみ
が犯罪とみなされるべきである」ので、コンピュータシステムの所有者
は、CVDポリシーの公表を通じてアクセスを許可することができる;EU諸
国は、セキュリティ研究者に有限責任免除を提供するCVDポリシを実施
することが可能である。
• 刑法は構成国が専権を有するため、構成国は自国の刑法を改正してセ
キュリティ研究者の法的確実性を高めることができる。
• EUは、セキュリティ研究者に法的確実性を提供するために、2013/40/EU
サイバー犯罪指令を修正することができる。
• セキュリティ研究者の保護は、指令2019/1937における内部告発者の地位
を認めることによっても達成され得る。
• 倫理的ハッカーの役割を定義することは有用である;アドホックの基準(事
案ごとの基準)を定義する法律を起草することも可能。
17

課題を克服
する
(Overcome the
challenges)
経済的な課題を克服する
• セキュリティ研究者がCVDプログラムに積極的に参加することを奨励することを目的と
した適切な政策の推進
• バグバウンティプログラムの具体的な役割：EUはプログラムを設立すべきか、それ
ともEU加盟国間の規制と慣行の調和を図るべきか？
• 欧州の官民の研究者の間でCVD政策を育成するための研究プログラムへの支
援（デジタル・ヨーロッパ・プログラム、ホライゾン・ヨーロッパ）。
• EUは、人材を育成し、EUにおけるCVD政策の展開を可能にするための資金や
プログラムを用意すべきである。
政治的課題を克服する
• トップダウンまたはボトムアップのアプローチ: EUのアプローチは、EUレベルでの
CVDの共通モデルという形をとり、EUおよび国際レベルでの調整を促進することが
できる。
• 政府の役割
• サイバー犯罪や知的財産の枠組みを更新し、例えば「セーフハーバー」を通じてセキュリ
ティ研究者をより良く保護する。
• (政府みずから)CVDポリシの確立を率先して行う（例：政府内のCVDなど）。
• 民間企業の役割
• 民間企業は、政府の政策介入を待たず、CVDポリシーを定義して組織のウェブサイ
トで公開することが望ましい。
18

NIS(ネットワー
ク情報システム
の安全に関す
る)指令2におけ
るCVD
(CVD in NIS 2)
この指令はまた、協調的脆弱性開示の枠組み
を確立し、加盟国に対し、信頼できる媒介者
として活動し、報告主体とICT製品およびICT
サービスのメーカーまたはプロバイダーとの
間の相互作用を促進するCSIRTを指定するよう
求めている。ENISAは、発見された脆弱性のた
めの欧州脆弱性レジストリを開発し、維持す
ることを要求されている。
19

CVDとサイバーレジリ
エンス法
(CVD and Cyber
Resilience Act)
• サイバーレジリエンス法() 付録2
• 2. 脆弱性ハンドリング要件
• デジタル要素を含む製品の製造者は、以下の事項を実施しなけ
ればならない。
• (1) 少なくとも製品のトップレベルの依存関係をカバーする、一般
的に使用され機械で読み取り可能な形式のソフトウェア部品表を作
成することを含め、製品に含まれる脆弱性及びコンポーネントを特
定し文書化すること
• (2) デジタル要素を有する製品にもたらされるリスクに関連して、
セキュリティ更新を提供するなどして脆弱性に遅延なく対処し是正
すること
• (3) デジタル要素を含む製品のセキュリティについて、効果的かつ
定期的なテストとレビューを適用すること。
• (4) セキュリティアップデートが利用可能になったら、修正された
脆弱性についての情報（脆弱性の説明、影響を受けるデジタル要素
を持つ製品を利用者が特定できる情報、脆弱性の影響、深刻度、脆
弱性を修正するために利用者を助ける情報を含む）を公に公開する
こと。
• (5) 協調的な脆弱性開示に関するポリシーを導入し、実施すること。
• (6) デジタル要素付き製品で発見された脆弱性を報告するための連
絡先を提供するなど、デジタル要素付き製品およびその製品に含ま
れる第三者のコンポーネントの潜在的脆弱性に関する情報の共有を
促進する措置を講じること。
• (7) 悪用可能な脆弱性が適時に修正または緩和されるよう、デジタ
ル要素を含む製品の更新を安全に配布するメカニズムを提供する。
• (8) 特定されたセキュリティ問題に対処するためのセキュリティ
パッチまたは更新が利用できる場合、それらが遅延なく無償で配布
されることを保証し、利用者に、取るべき潜在的措置を含む関連情
報を提供する勧告メッセージを添付する。
20

1 Place du Congres, 1000 Brussels
Tel: (+32 2)229 39 11
info@ceps.eu
Thank You! @CEPS_ThinkTank
21