「情報セキュリティ早期警戒パートナーシップガイドライン」の2009年版を公開
ウェブサイト構築事業者のための脆弱性対応ガイドをガイドライン化
最終更新日 2009年7月8日
独立行政法人 情報処理推進機構
セキュリティセンター
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、中央大学教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、2009年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。
「情報セキュリティ早期警戒パートナーシップ」は、ソフトウェア製品及びウェブサイトに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として整備されました。2004年7月8日の運用開始以来5年が経過し、2009年3月末までに脆弱性関連情報の届出は5,251件に達し、特に、2008年度は3,206件の届出があり、制度として着実に浸透してきています。
この度、IPA内に設置した「情報システム等の脆弱性情報の取扱いに関する研究会」の検討結果を踏まえ、脆弱性対策の更なる促進を図るため、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。今回の改定では、製品開発者やウェブサイト運営者と連絡が取れない場合や、修正が長期化している案件の取扱いを終了する際の方針をガイドラインに追記しました。また、付録7に「ウェブサイト構築事業者のための脆弱性対応ガイド」を追記しました。
付録5の「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」は、製品開発者による利用者への適切な情報提供の実現を目的として、製品開発者が行うべき脆弱性対策情報の公表手順について、公表すべき項目や公表例、脆弱性対策情報への誘導方法などを記載しているほか、望ましくない公表例なども記載しています。
付録6の「ウェブサイト運営者のための脆弱性対応マニュアル」は、ウェブサイト運営者の対応手順について、脆弱性に関する通知の受領、セキュリティ上の問題の有無に関する調査、影響と対策の方向性の検討、対策作業に関する計画、対策の実施、修正完了の報告の順に、一つの方針を示しています。
付録7の「ウェブサイト構築事業者のための脆弱性対応ガイド」は、情報サービス企業の技術者やウェブデザイナー、企業内でウェブサイト構築・運用を担当する技術者向けに、JISAガイダンス(*1)を補足する資料として、システムの納入前や納入後の脆弱性への対応に関して、一つの方針を示しています。
脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
資料のダウンロード
- 情報セキュリティ早期警戒パートナーシップガイドライン(605KB)
- 2009年版 - - ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル(309KB)
- 情報セキュリティ早期警戒パートナーシップガイドライン 付録5抜粋編 - ウェブサイト運営者のための脆弱性対応ガイド(721KB)
- 情報セキュリティ早期警戒パートナーシップガイドライン 付録6抜粋編 - ウェブサイト構築事業者のための脆弱性対応ガイド(739KB)
- 情報セキュリティ早期警戒パートナーシップガイドライン 付録7抜粋編 - パンフレット「情報システムを安全にお使いいただくために」(274KB)
- ガイドライン2009年版の変更点(99KB)
(英語版)
(プレスリリース)
脚注
(*1) 「SI事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス」(社)情報サービス産業協会(JISA)、(社)電子情報技術産業協会(JEITA)
http://www.jisa.or.jp/report/2004/vulhandling_guide.pdf
参考情報
- 2008年7月29日掲載 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」の英語版「Vulnerability Disclosure Guideline for Software Developers」を公開
- 過去の「情報セキュリティ早期警戒パートナーシップガイドライン」
- 国内における枠組みと JPCERT/CC の役割について(JPCERT/CC)
- 製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(JEITA・JISA)
- 製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(CSAJ(旧JPSA))
- SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス(JISA・JEITA)
情報セキュリティ早期警戒パートナーシップガイドラインとは
「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られた枠組みです。
IPA、JPCERT/CC、社団法人 電子情報技術産業協会(略称:JEITA)、社団法人 コンピュータソフトウェア協会(略称:CSAJ)、社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用しています。
本件に関するお問い合わせ先
IPA セキュリティセンター 山岸/渡辺
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 
更新履歴
| 2009年 7月 8日 | 2009年版を公開。 |
|---|---|
| 2008年 7月29日 | 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」の英語版を公開。 |
| 2008年 4月 4日 | 2008年版を公開。 |
| 2007年 6月11日 | 2007年版を公開。 |
| 2006年 9月 1日 | 2006年版を公開。 |
| 2005年 7月 8日 | 2005年版を公開。 |
| 2004年 7月 8日 | 公開。 |