脆弱性関連情報の届出受付
脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004 年7月7日から
経済産業省の告示に基づき策定された
情報セキュリティ早期警戒パートナーシップガイドラインに則り運用しています。
経済産業省の告示にて、下記の通り指定されています。
| 脆弱性関連情報の届出の受付機関: |
独立行政法人 情報処理推進機構(IPA) |
| 脆弱性関連情報に関して製品開発者への連絡および公表に係る調整機関: |
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) |
留意事項
脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。
- 発見者に対する、脆弱性関連情報の秘匿の強制
- 製品開発者に対する、脆弱性への対策の強制
- ウェブサイト運営者に対する、脆弱性の修正の強制
下記リンクより届出が可能です。
ウェブ届出フォームについては、システム改修が終了し、2018年1月初旬に再公開いたします。
ご不便をお掛けして申し訳ありませんが、再公開するまでの間は、届出については電子メールで届出頂けますよう、よろしくお願い致します。IPAでは、以下の脆弱性関連情報の届出を受付けています。
(1) ソフトウエア製品脆弱性関連情報
日本国内で利用されているOS、ブラウザ、メーラ等のクライアント上のソフトウエア、DBMS、ウェブサーバ等のサーバ上のソフトウエア、プリンタ、ICカード、PDA、コピー機等のソフトウエアを組み込んだハードウエア、制御システム用製品等に脆弱性を発見した場合に届け出てください。特に、複数の製品開発者の製品に影響する可能性がある脆弱性関連情報については、受け取れない製品開発者が出ないように、IPAへ届出を行うことが望まれます。なお、「暗号アルゴリズム」や「プロトコル」を実装しているものも含みますが、一般的な「暗号アルゴリズム」や「プロトコル」等の仕様そのものの脆弱性は含みません。
(2) ウェブアプリケーション脆弱性関連情報
主に日本国内からのアクセスが想定されているインターネット上のウェブサイト等で稼動する固有のシステムに脆弱性を発見した場合に届け出てください。
脆弱性とは
脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るものをいいます。
また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。
IPA は、届出を受けた脆弱性関連情報を、以下の告示、ガイドライン、取扱い方針等に従い取扱います。
告示
2004年に経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定され、2014年の改正を経て、2017年に新たに経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」になりました。
ガイドライン
- 情報セキュリティ早期警戒パートナーシップガイドライン -2017年版-
(PDF:1.6MB)
告示を踏まえ、関係業界と協調して国内におけるソフトウエア等の脆弱性関連情報を適切に取扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しました。関係者(発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者)に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者およびウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
- 情報セキュリティ早期警戒パートナーシップの紹介 - 脆弱性取扱プロセスの要点解説 -(PDF:369KB)
関係者の方(発見者、製品開発者、ウェブサイト運営者)にご理解頂きたい告示・ガイドラインの要点を纏めたものです。
取り扱い方針
届出の際には、以下の 2つの方法のどちらかをご利用ください。
なお、IPAへ届出する以外にも、社外からの連絡窓口を設置し、発見者から直接の届出を受け入れる製品開発者、ウェブサイト運営者の場合、直接届け出ることも可能です。発見者と製品開発者もしくはウェブサイト運営者との調整が難航した場合には、IPAに連絡をしてください。IPAから、製品開発者もしくはウェブサイト運営者へ連絡し、調整を実施します。
(1) 電子メール
下記の届出様式に則り必要事項を記入の上、メールでご連絡ください。IPAでは PGP公開鍵による暗号化を推奨しています。ただし、暗号化は必須ではありません。
届出の際には、以下の届出様式をご利用ください。
| 届出の種類 |
説明 |
届出様式 |
記入例 |
記入の手引き |
| ソフトウエア製品脆弱性関連情報 |
上記「届出の対象」の(1) |
様式 |
記入例 |
手引き |
| ウェブアプリケーション脆弱性関連情報 |
上記「届出の対象」の(2) |
様式 |
記入例 |
手引き |
| 検証コード |
ソフトウエア製品の脆弱性に対する検証コードで、すでに対策が公表されている場合 |
様式 |
記入例 |
手引き |
| 自社製品に関する脆弱性関連情報 |
ソフトウエア製品の脆弱性で、製品開発者自身が発見し、利用者への周知のためにポータルサイトJVNで対策情報を公表したい場合 |
様式 |
記入例 |
手引き |
(2) ウェブ届出フォーム(現在停止中)
ウェブ届出フォームの案内に従い、必要事項を記入してください。
よくある質問に対する回答をFAQに掲載しています。
脆弱性関連情報の届出関連 FAQ
FAQに回答がない場合は、以下までお問い合わせください。
| 電子メールアドレス |
|
※届出に関する質問の窓口です。届出については、
脆弱性関連情報の届出先までお願いします。
情報システム等の脆弱性情報の取扱いに関する研究会 報告書
脆弱性関連情報の届出状況(統計情報)
脆弱性対策情報データベースJVN iPediaの登録状況(統計情報)
更新履歴
2004年 7月14日 「届出の対象」に脆弱性の説明を掲載
2004年 7月14日 「脆弱性関連情報の届出に関するお問い合わせ」を掲載
2004年10月19日 届出時における暗号化について追記
2005年 2月 1日 ウェブ届出フォームを追加
2005年 5月31日 届出情報の取扱い方針を変更
2005年 9月 5日 ソフトウエア製品脆弱性関連情報の届出様式および記入例を一部変更
2005年12月19日 ソフトウエア製品脆弱性関連情報の届出様式および記入例を一部変更
2006年 9月 1日 届出様式を変更 自社製品に関する脆弱性関連情報の届出様式一式を追加
2006年12月19日 「情報セキュリティ早期警戒パートナーシップガイドライン」へのリンクを追加
2007年 6月 1日 届出様式を変更
2008年 3月28日 ウェブ届出フォームをリニューアル
2014年 3月17日 ソフトウエア製品脆弱性関連情報の届出様式および記入例、記入の手引きを一部変更
2014年 5月27日 ソフトウエア等脆弱性関連情報取扱基準の改正を追記
2014年 5月30日 「情報セキュリティ早期警戒パートナーシップガイドライン」へのリンクを2014年版に変更
2015年 3月26日 各種ガイド等の追加や更新と2014年度報告書を追加
2015年 4月8日 ソフトウエア製品脆弱性関連情報およびウェブアプリケーション脆弱性関連情報の届出様式および記入例を一部変更
2015年 5月22日 「情報セキュリティ早期警戒パートナーシップガイドライン」2015年版公開に伴うガイドラインの差し替え
2015年 7月23日 本ページを全面改訂
2016年 3月31日 制御システム利用者のための脆弱性対応ガイド 第2版と2015年度報告書を追加
2016年 4月14日 電子メールでの届出様式および記入の手引の一部を変更
2016年 5月30日 「情報セキュリティ早期警戒パートナーシップガイドライン」2016年版公開に伴うガイドラインの差し替え
2017年 3月30日 参考情報のファイル更新と2016年度報告書を追加
2017年 5月30日 本ページを全面改訂
2017年 6月 8日 ウェブ届出フォームについての情報を更新
2017年12月28日 ウェブ届出フォームについての情報を更新
