HOME >> 情報セキュリティ >> 脆弱性対策 >> 情報セキュリティ早期警戒パートナーシップガイドライン

「情報セキュリティ早期警戒パートナーシップガイドライン」の2010年版を公開

セキュリティ担当者のための脆弱性対応ガイドをガイドライン化

最終更新日 2011年3月28日

独立行政法人 情報処理推進機構
セキュリティセンター

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)およびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター、代表理事:歌代 和正)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、中央大学教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドラインを改訂し、2010年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。

 「情報セキュリティ早期警戒パートナーシップ」は、ソフトウェア製品及びウェブサイトに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として整備されました。2004年7月8日の運用開始以来6年半が経過し、2010年12月末までに脆弱性関連情報の届出は6,483件に達しました。

 この度、IPA内に設置した「情報システム等の脆弱性情報の取扱いに関する研究会」の検討結果を踏まえ、脆弱性対策の更なる促進を図るため、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。

 今回の改訂では、以下の点を追記しています。

 ・製品開発者と連絡が取れない場合に対する方針について(本文、付録8、付録9)
 ・発見者への情報非開示依頼を取り下げる手続き(本文)
 ・セキュリティ担当者のための脆弱性対応ガイド(付録10)

 付録10の「セキュリティ担当者のための脆弱性対応ガイド」は、組織内で脆弱性対策の知識を必要とするセキュリティ担当者を対象とて、脆弱性に起因するトラブルや影響の事例、事業者に委託する際の考え方などを含めた、全般的な脆弱性対策を解説しています。

 脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。

資料のダウンロード

(英語版)

脚注

(*1) 「SI事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス」(社)情報サービス産業協会(JISA)、(社)電子情報技術産業協会(JEITA)
http://www.jisa.or.jp/report/2004/vulhandling_guide.pdf

参考情報

情報セキュリティ早期警戒パートナーシップガイドラインとは

 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られた枠組みです。

  IPA、JPCERT/CC、社団法人 電子情報技術産業協会(略称:JEITA)、社団法人 コンピュータソフトウェア協会(略称:CSAJ)、社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用しています。

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/大森

Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

JPCERT/CC 情報流通対策グループ 古田

Tel: 03-3518-4600 Fax: 03-3518-4602
E-mail: 電話番号:03-3518-4600までお問い合わせください。

更新履歴

2011年 3月28日 2010年版を公開。
2009年 7月 8日 2009年版を公開。
2008年 7月29日 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」の英語版を公開。
2008年 4月 4日 2008年版を公開。
2007年 6月11日 2007年版を公開。
2006年 9月 1日 2006年版を公開。
2005年 7月 8日 2005年版を公開。
2004年 7月 8日 公開。
ページトップへ