• ホーム
  • 企業動向
  • Leach、IPAへの脆弱性届出が正式受理 ── 責任ある情報開示で日本のサイバーセキュリティに貢献
企業動向

Leach、IPAへの脆弱性届出が正式受理 ── 責任ある情報開示で日本のサイバーセキュリティに貢献

東京都港区に本社を置く株式会社Leachが、情報処理推進機構(IPA)の脆弱性届出制度を通じてWebサービスの潜在的な脆弱性を報告し、正式に受理されたことを発表しました。同社は責任ある情報開示(Responsible Disclosure)を実践し、日本のサイバーセキュリティ向上に貢献する姿勢を示しています。

IPA脆弱性届出制度が日本のサイバーセキュリティを支える

IPAの脆弱性届出制度は、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づき2004年7月に開始されました。これは、ソフトウェアやWebサイトに脆弱性を発見した者が、IPAを通じて開発者・運営者に安全に情報を伝達する公的な仕組みです。届出者は法的なリスクを負うことなく脆弱性情報を報告でき、IPAが受付・調整機関として開発者・運営者に修正を促します。JPCERT/CCと連携して調整が行われ、修正完了後にJVN(Japan Vulnerability Notes)で情報が公開される流れとなっています。

脆弱性届出制度とは

2004年の制度開始以来、累計で数万件の脆弱性情報がIPAに届出されており、日本のサイバーセキュリティ向上に大きく貢献しています。しかし、届出者の多くは個人のセキュリティ研究者であり、法人として正式に脆弱性届出を行い、その活動を公開している企業は多くないのが現状です。

悪用リスクを最小化する「Responsible Disclosure」

Responsible Disclosureとは、脆弱性を発見した際に、いきなり公開(Full Disclosure)するのではなく、まず開発者・運営者に非公開で報告し、修正の時間を確保した上で公開する手法を指します。Google、Microsoft、Appleなどグローバルテック企業が推奨するセキュリティのベストプラクティスであり、脆弱性情報が悪意のある攻撃者に利用されるリスクを最小化する目的があります。同社は、IPAの公的な枠組みを利用したResponsible Disclosureを実践しました。

Responsible Disclosureとは

セキュリティエンジニアの視点で見抜いた潜在的脆弱性

今回の脆弱性発見は、Leach代表の冨永拓也氏が普段から最新のクラウド技術を学ぶ過程で、オンラインのコンテナ演習環境を利用していた際に、起動ログや動作に違和感を覚えたことがきっかけでした。冨永氏は東芝ソフトウェア技術センターでの9年間の研究開発職で、ファームウェア開発、クラウド基盤設計、データ分析、セキュリティ対策に携わった経験を持ち、AWS認定資格を全冠取得するなど、クラウドインフラのセキュリティに関する深い知識を有しています。

 

一般ユーザーには気づきにくい事象でしたが、セキュリティエンジニアの目線で丁寧に検証を重ねた結果、潜在的な脆弱性を特定。悪用されれば影響が及ぶ可能性があると判断し、公的機関への届出に踏み切ったとしています。

IPAへの届出プロセスと受理

脆弱性発見後、同社はIPAの届出フォームを通じて、影響範囲の概要、再現手順の要点、想定される悪用シナリオ、連絡先情報といった必要事項を提出しました。送信後、数日以内に受理確認メールが届き、取扱い番号が付与されて正式な調査・調整フェーズに移行。その後数週間で「脆弱性関連情報 届出受理証明書」が発行されています。なお、技術的な詳細はサービス運営者およびIPAとの調整プロセスの中で取り扱われるため、本件では非公開としています。

IPAへの届出プロセスと受理

法人として脆弱性届出を行う意義

脆弱性届出は個人のセキュリティ研究者が行うケースが大半ですが、法人が組織として脆弱性を発見・報告し、その活動を公開することには以下の3つの意義があると同社は述べています。

  1. セキュリティ能力の証明:IPAに受理されるレベルの脆弱性報告は、対象システムのアーキテクチャ、通信プロトコル、認証メカニズムに関する深い知識が必要であり、同社の技術力の客観的な証明となります。
  2. 顧客への安心感の提供:同社は生成AI顧問サービスで企業のシステム開発・運用を支援しており、セキュリティの観点から自発的に社会貢献する企業であることは、顧客にとっての信頼材料となるとしています。
  3. 業界全体のセキュリティ向上への貢献:脆弱性は放置すれば被害拡大のリスクとなります。発見した問題を公的な枠組みで安全に報告する文化を企業レベルで実践することは、日本の情報セキュリティを底上げする上で欠かせないと考えています。
法人として脆弱性届出を行う意義

Leach 生成AI顧問が提供するセキュリティ支援

Leachは、システム開発・運用において「セキュリティ」と「最新技術の活用」は車の両輪であるとし、生成AI顧問サービスにおいて以下のセキュリティ支援を提供しています。

  • 生成AIをはじめとする最先端技術の導入支援

  • システムアーキテクチャのセキュリティレビュー

  • クラウドインフラ(AWS / GCP / Azure / Cloudflare)のセキュリティ設定最適化

  • 脆弱性対応のアドバイザリ

  • 緊急時のセキュリティインシデント対応支援

同社の顧問サービスでは、AWS全12冠を持つCEOが直接サポートし、クラウドセキュリティに関する実務経験と最新の知見を提供しているとのことです。

Leach 生成AI顧問のセキュリティ支援

より詳細なサービス内容は、同社のウェブサイトで確認できます。 Leach 生成AI顧問サービス

今後の展望

Leachは、今回の脆弱性届出を機に、生成AIの問題とされる「プロンプトインジェクション」やLLMをクラウドサービスでより安全に利用するためのベストプラクティスの研究・発信も積極的に行っていく方針です。AIエージェントが自動で命令を実行する時代においては、企業のガバナンス・セキュリティ対応がこれまで以上に重要になると同社は指摘しています。

今後の展望とお問い合わせ

同社は「生成AIを、まるごと届ける。」をミッションに掲げ、導入プレーヤーとしても、技術的誠実さを示す企業としても、日本の生成AI活用をリードしていくとしています。生成AIの安全利用に向けた社内ガイドライン策定や、主要クラウド環境のセキュリティ設定見直し、SBOMに基づく依存ライブラリの脆弱性管理など、実務に即したセキュリティ改善提案を通じて、業務効率化とセキュリティの両立を支援していくとのことです。

ソース元

ページトップへ戻る
×