IPAについて

最新情報

機構情報

事業紹介

プレス発表

情報公開

ENGLISH

事業情報

公募・入札一覧

事業成果報告集

評価について

ソフトウエア等脆弱性関連情報に関する届出の受付開始について

　独立行政法人 情報処理推進機構（略称IPA、理事長：藤原 武平太）は、2004年7月8日より、ソフトウエア等の脆弱性関連情報に関する届出の受付を開始します。

　IPAは、昨年11月から、「情報システム等の脆弱性情報の取扱いに関する研究会」（座長：土居範久 中央大学教授）を開催し、ソフトウエア等の脆弱性に関する情報を必要な機関間で流通させるとともに、有効な対策方法を迅速かつ正確にユーザに供給することを目的として、脆弱性の発見から、対策の策定・公表に至るまでの関連情報の取扱いのあり方について検討を行いました。この検討結果を、去る4月に研究会報告書として公表するとともに、経済産業省に対して提言しました。
　これを踏まえ、7月7日、経済産業省は、告示で、脆弱性関連情報が発見された場合にそれらをどのように取り扱うべきかを示した「ソフトウエア等脆弱性関連情報取扱基準」を制定するとともに、脆弱性関連情報の届出の受付機関としてIPA、脆弱性関連情報に関して製品開発者への連絡及び公表に関わる調整機関として有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）を指定しました。
　また、上記告示を受けて、IPA、JPCERT/CC、社団法人 電子情報技術産業協会（JEITA）、社団法人 情報サービス産業協会（JISA）、社団法人 日本パーソナルコンピュータソフトウェア協会（JPSA）及び特定非営利活動法人 日本ネットワークセキュリティ協会（JNSA）では、本日、脆弱性関連情報の流通に関わる関係者、関係業界としての指針「情報セキュリティ早期警戒パートナーシップガイドライン」を連名で公表しました（7月8日付プレスリリース「情報セキュリティ早期警戒パートナーシップガイドラインの公表について」ご参照）。
　 IPAは、上記告示の施行に伴い、本日より脆弱性関連情報の届出の受付を開始します。

１．届出を受け付ける脆弱性関連情報について

　IPAはソフトウエア製品及びウェブアプリケーションの脆弱性に関わる情報の届出を受け付けます。脆弱性関連情報の取扱いについては、ホームページで詳細を掲載していますので、そこから届出様式、届出様式記入の手引きなどを参照してください。
　届出は、当初、電子メールで受け付けます。届出に際しては、ネットワーク経路における盗聴などにより、未対策の脆弱性情報が漏洩することを防ぐため、PGP暗号鍵による暗号化を施した上で、下記アドレス宛に届出をお願いします。また、ウェブによる届出システムを今秋運用開始する予定です。

・ソフトウエア製品の脆弱性関連情報について

　OSやブラウザ等のクライアント上のソフトウエア、データベース管理ソフトウエアやウェブサーバ等のサーバ上のソフトウエア、ソフトウエアを組み込んだハードウエア等において、セキュリティ上の問題箇所を発見した場合に届け出てください。主な届出内容は、以下の通りです。

・ウェブアプリケーションの脆弱性関連情報について

　インターネットのウェブサイトなどで、公衆に向けて提供するそのサイト固有のサービスを構成するシステムにおいて、セキュリティ上の問題箇所を発見した場合に届け出てください。主な届出内容は、以下の通りです。

２．届出後の脆弱性関連情報の取扱いプロセスについて

　届け出られた脆弱性関連情報のうち、ソフトウエア製品に関する脆弱性関連情報については、IPAが内容を確認した上で、JPCERT/CCに通知します。ウェブアプリケーションの脆弱性関連情報については、IPAから直接ウェブサイト運営者に通知します。

ソフトウエア製品の脆弱性関連情報の取扱いプロセス

(1)	届出の受付
	発見者からの届出を受け付けます。
(2)	届出情報の確認
	記入項目に不備がないこと、既知の脆弱性情報ではないことなどを確認し、発見者への確認が必要な場合は連絡します。
(3)	届出受理の通知
	(2)の結果を踏まえ、届け出られた情報を受理するかどうかを判断します。受理する場合は、IPA から発見者へ届出を受理した旨をメールにて通知します。
(4)	JPCERT/CC への脆弱性関連情報の通知
	脆弱性関連情報を、JPCERT/CC に通知します。脆弱性関連情報は、JPCERT/CCから製品開発者に通知します。
(5)	脆弱性に関する問い合わせ
	製品開発者が脆弱性の存在有無を確認する際に、発見者の了解がある場合には、問い合わせをさせていただくことがあります。
(6)	脆弱性情報公表日の受理
	JPCERT/CCを通じ、製品開発者から脆弱性情報公表日の通知を受けます。
(7)	対応状況（脆弱性検証の結果および対策方法、取り組みの状況等）の公表
	届け出られた脆弱性に対する製品開発者の対応状況をJPCERT/CCと共同運営するポータルサイト(JVN)にて公表します。また、公表に際しては、発見者にその旨通知します。

ウェブアプリケーションの脆弱性関連情報の場合

(1)	届出の受付
	発見者からの届出を受け付けます。
(2)	届出情報の確認
	記入項目に不備がないことを確認し、発見者への確認が必要な場合は連絡します。
(3)	届出受理の通知
	(2)の結果を踏まえ、届け出られた情報を受理するかどうかを判断します。受理する場合は、IPA から発見者へ届出を受理した旨をメールにて通知します。
(4)	ウェブサイト運営者への通知
	ウェブサイト運営者の連絡先を調査し、脆弱性情報を通知します。連絡先が見つからない場合や、返信がない場合などは、取扱を終了することがあります。
(5)	修正に関する問合せ
	ウェブサイト運営者に対し、修正に関する問い合わせを行います。ウェブサイト運営者が脆弱性の有無を確認する際、発見者への質問の仲介や確認作業に対する協力を行います。
(6)	修正通知の受理
	ウェブサイト運営者から脆弱性の修正の通知を受理します。また、修正について、発見者に通知します。
(7)	統計情報の公表
	届出情報を集計し、統計情報をウェブサイトにて公表します。

３．届け出られた情報の取扱いについて

　届け出られた情報については、情報の漏洩や紛失、誤用などのないよう、厳格に取扱います。

・発見者情報について

　製品開発者及びウェブサイト運営者と発見者との間で、脆弱性に関する詳細な情報のやり取りが発生することを考慮し、届出の際に発見者の連絡先情報の記入をお願いしています。発見者情報は、機密情報として取り扱い、脆弱性関連情報の取扱い終了後に削除します。

・脆弱性関連情報について

　脆弱性関連情報は、調整機関、開発者およびウェブサイト運営者との間で適切に取り扱い、脆弱性情報の公表前は、機密情報として取り扱います。脆弱性情報の公表後においても、脆弱性の詳細な情報や攻撃方法などの情報については、一般に広く公表する必要がない情報であるため、引き続き機密情報として取り扱います。

情報の取扱いにおける基本方針

※ソフトウエア製品の脆弱性については、発見者の希望がある場合、対応状況とともに発見者名を公表します

４．その他

「脆弱性関連情報取り扱い説明会」の開催について
　IPA と JPCERT/CC は、以下の日程で東京、福岡、大阪、名古屋、札幌にて、本基準の中心的な存在である、製品開発者の皆様にご参加いただく説明会を開催します。関係者各位の積極的なご参加をお願いいたします。

　ニュースリリース全文 （PDFファイル、1,225KB）