HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報システム等の脆弱性情報の取扱いに関する研究会 報告書

本文を印刷する

情報セキュリティ

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

最終更新日 2005年 7月 8日
更新履歴

独立行政法人 情報処理推進機構
セキュリティセンター

電話番号:03-5978-7501までお問い合わせください。


概要

 2004年 7月 7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」 (平成16年経済産業省告示第235号)を公示し、 脆弱性関連情報の届出の受付機関として、独立行政法人 情報処理推進機構(IPA)、 脆弱性関連情報に関して製品開発者への連絡及び公表に係る調整機関として、有限責任中間法人 JPCERTコーディネーションセンター(JPCERT/CC) が指定されました。

 これを受け、IPA ではソフトウエア製品およびウェブアプリケーションの脆弱性に関する情報の届出の受け付けを開始しましたが、その後の運用実績を踏まえ、2004年12月より「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久 中央大学教授)及び「脆弱性情報取扱いガイドラインワーキンググループ」にて下記に示す課題・問題点について検討し、今後の取り組みの方向性について議論を重ねて参りました。

■脆弱性関連情報の取扱範囲に関する検討

  • 取扱対象の拡大(情報家電やオフィス関連機器等)
  • 特定の製品の脆弱性情報取扱い
  • サービス事業者が提供するソフトウェアの脆弱性情報取扱い

■脆弱性の情報開示に関する検討

  • 政府・重要インフラへの優先情報提供
  • SI事業者への情報提供
  • ユーザ企業への情報提供
  • 個人ユーザへの情報提供

■情報セキュリティ早期警戒パートナーシップの認知度向上に係る検討

  • パートナーシップ全体やJVN(JP Vendor Status Notes)の認知度向上

■その他、取扱いプロセスに係る課題等

  • 取扱いプロセスに係る課題
  • 情報不足、ノウハウ共有に係る課題

今後、次の項目等について検討を行なう予定です。

  • 内閣官房情報セキュリティセンターとの連携等の検討
  • SI事業者との連携方法の詳細化
  • 特定ソフトウェア製品の取扱方法の継続検討
  • 取扱範囲の継続的検討
  • 脆弱性克服に向けた幅広い取組みの推進

調査報告書のダウンロード

参考

更新履歴

2005年 7月 8日 報告書(概要版)、参考を掲載
2005年 6月22日 掲載