👏
IPA通報代行、始めます
IPA通報代行、始めます
- 脆弱性っぽいものを見つけたけど、報告書を書くのが面倒。
- どこに出せばいいか分からない。
- 窓口とのやりとりが大変そう。
- でも、放置するのも違う気がする。
そういう人向けに、IPA通報代行を始めます。
何をするのか
脆弱性っぽい情報について、依頼者から内容を聞き、以下を代行します。
- 事実関係の整理
- スクリーンショットやURLなどの証跡整理
- 再現手順の整理
- IPA届出用の文面作成
- IPAへの提出
- IPAから追加確認が来た場合の対応補助
「見つけたけど、レポートにするのが面倒」という部分を引き受けます。
対象
たとえば、以下のようなものを想定しています。
- Webサービスの脆弱性っぽい挙動
- アクセス制御の不備っぽいもの
- 本来見えてはいけない情報が見える状態
- 設定ミス、公開ミス、権限設定ミス
- 社内・業務中に見つけたセキュリティ上の懸念
- どこに報告すればよいか分からない脆弱性情報
「これは本当に脆弱性なのか分からない」という段階でも相談できます。
やらないこと
以下は対応しません。
- 不正アクセス
- 攻撃行為
- 過剰なスキャン
- 権限外の追加調査
- 他人のID・パスワードを使った確認
- 企業への金銭要求
- 公開をちらつかせた交渉
- 法的判断や法律相談
あくまで、依頼者が見つけた情報を、IPAへ届け出るために整理・提出するサービスです。
料金
まずは試験的に、無料で受けます。
内容が複雑な場合、事前に相談します。
こんな人向けです
- 脆弱性っぽいものを見つけた
- でも報告書を書くのが面倒
- IPAのフォームを見るだけで疲れる
- 企業窓口とやりとりしたくない
- セキュリティの専門用語に自信がない
- 放置するのは嫌だけど、自分で動くのは重い
こういう人のための、通報代行です。
相談方法
まずはXのDMで、
- 対象のサービスやURL
- 何が起きるのか
- いつ見つけたのか
- スクリーンショットの有無
- 追加調査をしていないか
を簡単に送ってください。
詳細な情報は、こちらから必要な範囲を確認します。
最後に
脆弱性を見つけても、報告の手間が大きいと、そのまま放置されがちです。
その「面倒」を減らすために、IPA通報代行を始めます。
脆弱性っぽいものを見つけた方は、まずはお気軽にご相談ください。
6
Discussion
もうこれ狙ってるでしょ...
何を?
IPA 脆弱性関連情報等取扱い方針より
ここに第三者の代行者は含まれていません。発見者からの依頼があった場合でも、制度上の主体が代行者に置き換わる形での運用は明示的に想定されておらず、この枠組みとの整合性には疑義があります。
また、未公開の脆弱性情報は流通範囲が厳密に制御される前提の情報ですから、関係者として定義されていない第三者がこれを取り扱うこと自体が、取扱い方針の明示的に位置付けられていない点であり、情報管理上のリスクを内包するのではないでしょうか。
リーガルチェックを弁護士に依頼後、問題なしと確認済みです。
リーガルチェック済みとのことですが、論点は「法律上ただちに違法か」だけではないと思います。
この記事では、未公開の脆弱性関連情報を第三者が受け取り、証跡・再現手順の整理、IPAへの提出、追加確認対応補助まで行うと説明されています。
そうなると、問題は違法性だけでなく、IPAの取扱い方針や早期警戒パートナーシップの制度設計と整合するのか、また未公開情報の流通範囲を増やす運用として適切なのか、という点ではないでしょうか。
秘密保持、保管・削除方針、漏えい時の責任分界、IPA側がこのような代行運用を想定・許容しているのかについて、説明が必要だと思います。