情報セキュリティ

情報セキュリティ早期警戒パートナーシップガイドライン

最終更新日:2022年5月31日

独立行政法人 情報処理推進機構
セキュリティセンター

IPAおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、慶応義塾大学名誉教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドライン(*1)(以降「ガイドライン」)を改訂し、2019年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。

  1. 2022年5月31日公開の第2刷では、リンク切れ及び一般社団法人ソフトウェア協会の組織名変更に対応する修正を行っています。

「情報セキュリティ早期警戒パートナーシップガイドライン」の2019年版を公開

「情報セキュリティ早期警戒パートナーシップ」は、ソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として整備されました。2004年7月8日の運用開始から2019年3月末までに脆弱性関連情報の届出は14,212件に達しました。

この度、IPAおよびJPCERT/CCは、2018年度「情報システム等の脆弱性情報の取扱いに関する研究会」にて調整不能案件の一覧への掲載、公表手続きの改善に向けた検討、法的課題の整理などを実施し、その内容を研究会に報告し合意を得た上で、以下の項目についてガイドラインの修正を行い公開しました。

調整不能案件の一覧への掲載、公表手続きの改善に向けた検討結果の反映
  • ガイドラインの受理後の対応のうち、処理を取り止めることができる条件を告示の表現に合わせる
  • 条件の解釈を拡大し、本制度で取扱価値があるか否かの条件を追加
法的課題の整理結果の反映
  • 法務専門家の検討結果を基に以下の通り修正
    • - 用語の定義やガイドラインの適用範囲等の修正
    • - 受理要件に関する表現の修正
    • - 法律の改正や最新の判例に合わせた修正
表現等の軽微な修正反映
  • 誤字脱字や表現の揺れ、参照文献のURLの更新等の軽微な修正

詳しくは、以下報告書(6.パートナーシップガイドラインの改訂等に関する調査)を参照下さい。

脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。

資料のダウンロード

英語版

参考情報

過去の「情報セキュリティ早期警戒パートナーシップガイドライン」

国内における枠組みと JPCERT/CC の役割について(JPCERT/CC)

製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(JEITA・JISA)

製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(SAJ(旧JPSA))

SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス(JISA・JEITA)

(*1) 情報セキュリティ早期警戒パートナーシップガイドラインとは

「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。

IPA、JPCERT/CC、一般社団法人 電子情報技術産業協会(略称:JEITA)、一般社団法人 コンピュータソフトウェア協会(略称:CSAJ)、一般社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用しています。

お問い合わせ先

IPA セキュリティセンター

  • 担当

    渡辺/板橋

  • TEL

    03-5978-7527

  • FAX

    03-5978-7552

  • E-mail

    vuln-inqアットマークipa.go.jp

JPCERT/CC 早期警戒グループ

  • 担当

    椎木/洞田

  • TEL

    03-6271-8901

  • FAX

    03-6271-8908

  • E-mail

    vulturesアットマークjpcert.or.jp

更新履歴

  • 2022年5月31日

    「情報セキュリティ早期警戒パートナーシップガイドライン」2019年版第2刷(リンク切れ、一般社団法人ソフトウェア協会の組織名変更に伴う修正)を公開しました。

  • 2020年8月27日

    「脆弱性対処に向けた製品開発者向けガイド」、「ネット接続製品の安全な選定・利用ガイド」を公開。

  • 2020年3月18日

    ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第5版を公開。

  • 2020年3月18日

    共通脆弱性評価システムCVSS v3について(付録1)を公開。

  • 2019年5月30日

    2019年版を公開。

  • 2018年5月24日

    本件に関するお問い合わせ先を更新。

  • 2017年5月30日

    2017年版を公開。

  • 2016年5月30日

    2016年版を公開。

  • 2016年3月31日

    制御システム利用者のための脆弱性対応ガイド 第2版を公開。

  • 2015年5月22日

    2015年版を公開。