US-CISAが連邦機関に対する脆弱性情報の開示方針を発表していましたね。。。

こんにちは、丸山満彦です。

米国の Cybersecurity and Infrastructure Security Agency (CISA)がインターネットにアクセス可能なシステムの脆弱性情報の開示方針(vulnerability disclosure policy (VDP) )を発表しましたね。これは、法定された「国家安全保障システム」や国防総省や諜報機関が運営する特定のシステムには適用されないようですね（Section 3554(d)(e) of title 44, U.S. Code ）。

テンプレートも公開していますね。。。日本の政府機関のみならず、民間企業でも参考になるかもですね。。。

● CISA

・2020.09.02 (Release) CISA ISSUES FINAL VULNERABILITY DISCLOSURE POLICY DIRECTIVE FOR FEDERAL AGENCIES

・2020.09.02 (Blog) IMPROVING VULNERABILITY DISCLOSURE TOGETHER (OFFICIALLY)

● Cyber dhs.gov

・2020.09.02 Binding Operational Directive 20-01

 ・ Vulnerability Disclosure Policy Template

 

---