欧州委員会は、自らの通信情報システムにおけるセキュリティ脆弱性(システムの弱点)の報告を促進するための「脆弱性ディスクロージャーポリシー」を公開しました。
同委員会はこのポリシーにおいて、システムセキュリティを最優先事項と位置付けています。完全な脆弱性排除は困難であることを認めつつ、潜在的なセキュリティリスクについて報告するよう関係者に呼びかけています。
**報告対象システムと許可される活動**
ポリシーの対象範囲は、欧州委員会が公開しているインターネット接続システム全般です。具体的には、*.ec.europa.eu/*、*.commission.europa.eu/*のドメイン配下のウェブサイト、および公開IPアドレス(ASN 42848)に関連するサービスが該当します。ベンダー製品における脆弱性や対象外システムの問題については、当該ベンダーへの直接報告が求められます。
同委員会は、善意で脆弱性の特定と報告を行い、本ポリシーに従う者に対しては法的措置を講じないことを明言しています。
**禁止事項と行動基準**
レポーターが従うべき行動基準は明確に定められています。発見した脆弱性を悪用したり、データの過剰なダウンロード、他者データの削除・改変といった行為は厳禁です。マルウェアの配置、システムへの不正アクセス、データのコピーや改変、自動スキャンツールの使用、ブルートフォース攻撃なども禁止されています。機密情報(個人識別情報、医療・金融データなど)を発見した場合は、直ちにテストを中止し委員会に報告する義務があります。
**報告プロセスと期待される情報**
脆弱性の報告はEC-VULNERABILITY-DISCLOSURE[at]ec[dot]europa[dot]euのメールアドレスに送付します。PGP暗号化による送信が推奨されており、報告者名の公開について事前の同意確認も行われます。報告には、問題の再現に必要な十分な情報(影響を受けるシステムのIPアドレスやURL、脆弱性の説明)を含めることが求められ、英語またはEU公用語での記載が推奨されています。
**委員会の対応方針**
欧州委員会は、報告を受領してから3営業日以内に評価結果を回答することを約束しています。報告内容は厳格に機密として扱われ、個人データは適用法に従って処理され、本人の許可なく第三者に提供されません。脆弱性が解決された際には、報告者に通知され、公開時に同意に基づいて報告者名を開示する可能性があります。
このポリシーは、サイバーセキュリティリスクの早期発見と迅速な改善を実現するための制度設計となっており、脆弱性報告者を保護しながら欧州委員会システムのセキュリティ強化を目指しています。
出典:European Commission「Vulnerability Disclosure Policy」
https://commission.europa.eu/legal-notice/vulnerability-disclosure-policy_en