情報セキュリティ
脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004 年7月8日から経済産業省の告示別ウィンドウで開くに基づき策定された情報セキュリティ早期警戒パートナーシップガイドライン(PDF:1.0MB)別ウィンドウで開くに則り運用しています。
経済産業省の告示にて、下記の通り指定されています。
独立行政法人情報処理推進機構(IPA)
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。
下記リンクより届出が可能です。
IPAでは、以下の脆弱性関連情報の届出を受付けています。
日本国内で利用されているOS、ブラウザ、メーラ等のクライアント上のソフトウエア、DBMS、ウェブサーバ等のサーバ上のソフトウエア、プリンタ、ICカード、PDA、コピー機等のソフトウエアを組み込んだハードウエア、制御システム用製品等に脆弱性を発見した場合に届け出てください。特に、複数の製品開発者の製品に影響する可能性がある脆弱性関連情報については、受け取れない製品開発者が出ないように、IPAへ届出を行うことが望まれます。なお、「暗号アルゴリズム」や「プロトコル」を実装しているものも含みますが、一般的な「暗号アルゴリズム」や「プロトコル」等の仕様そのものの脆弱性は含みません。
主に日本国内からのアクセスが想定されているインターネット上のウェブサイト等で稼動する固有のシステムに脆弱性を発見した場合に届け出てください。
脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るものをいいます。
また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。
IPA は、届出を受けた脆弱性関連情報を、以下の告示、ガイドライン、取扱い方針等に従い取扱います。
2004年に経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定され、2014年の改正を経て、2017年に新たに経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」になりました。
情報セキュリティ早期警戒パートナーシップガイドライン -2019年版第2刷-(PDF:1.0MB)別ウィンドウで開く
告示を踏まえ、関係業界と協調して国内におけるソフトウエア等の脆弱性関連情報を適切に取扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しました。関係者(発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者)に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者およびウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
※2022年5月31日公開の第2刷では、リンク切れ及び一般社団法人ソフトウェア協会の組織名変更に対応する修正を行っています。
情報セキュリティ早期警戒パートナーシップの紹介 - 脆弱性取扱プロセスの要点解説 -(PDF:450KB)別ウィンドウで開く
関係者の方(発見者、製品開発者、ウェブサイト運営者)にご理解頂きたい告示・ガイドラインの要点を纏めたものです。
脆弱性関連情報等取扱い方針
届出受付業務および調整不能案件の公表判定業務における脆弱性関連情報の取扱い方針です。
脆弱性関連情報の届出における個人情報の取扱い方針
届出受付業務および調整不能案件の公表判定業務における個人情報の取扱い方針です。
脆弱性関連情報の届出受付業務における取扱いプロセス
ソフトウエア製品、ウェブアプリケーション、自社製品の脆弱性関連情報の届出受付業務の取扱いプロセスです。
調整不能案件の公表判定業務における取扱いプロセス
調整不能案件に係る公表判定業務の取扱いプロセスです。
脆弱性関連情報として取り扱えない場合の考え方の解説
「情報セキュリティ早期警戒パートナーシップガイドライン」における「脆弱性情報」として取扱えない場合の考え方の解説です。
届出の際には、以下の 2つの方法のどちらかをご利用ください。
なお、IPAへ届出する以外にも、社外からの連絡窓口を設置し、発見者から直接の届出を受け入れる製品開発者、ウェブサイト運営者の場合、直接届け出ることも可能です。発見者と製品開発者もしくはウェブサイト運営者との調整が難航した場合には、IPAに連絡をしてください。IPAから、製品開発者もしくはウェブサイト運営者へ連絡し、調整を実施します。
下記の届出様式に則り必要事項を記入の上、メールでご連絡ください。IPAでは PGP公開鍵による暗号化を推奨しています。ただし、暗号化は必須ではありません。
届出の際には、以下の届出様式をご利用ください。
ウェブ届出フォームの案内に従い、必要事項を記入してください。
※届出に関する質問の窓口です。届出については、脆弱性関連情報の届出先までお願いします。
2019年5月30日
「情報セキュリティ早期警戒パートナーシップガイドライン」2019年版公開に伴うガイドラインの差し替え
2019年10月11日
2020年3月18日
「情報システム等の脆弱性情報の取扱いに関する研究会」に関する項目を追記
2020年3月18日
ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第5版公開に伴うリンクの更新
2020年3月18日
共通脆弱性評価システムCVSS v3について(付録1)を追加
2020年8月27日
2021年3月30日
2021年3月31日
2022年3月29日
2022年5月31日
![Facebook](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="82" height="82"><rect fill-opacity="0"/></svg>)
