脆弱性の分類が不明な場合は、1つの判断基準としては、一般に配布されているソフトウエアの問題の場合は、ソフトウエア製品の脆弱性と考えてください。また、脆弱性が特定のウェブサイトで利用しているアプリケーションのみに存在する場合、もしくは、特定のウェブサイトで利用しているソフトウエア製品の利用法や脆弱性が原因のため、ウェブサイト側で対応する必要がある場合は、ウェブアプリケーション（ウェブサイト）の脆弱性と判断してください。

→ガイドライン II 5 , 7 , III

上記の判断基準で不明な場合は、どちらかの分類で届出をしてください。その場合、IPAにて届出内容を確認後に分類を変更する可能性がありますので、ご了承ください。

脆弱性の内容によって、取扱いが変わってきますので、まずは脆弱性関連情報の届出に関する問合せ用メールアドレス（）までご相談ください。

不具合を確認したが、それが脆弱性かどうか判断できない場合や、仕様通りの挙動だが問題がある場合は、セキュリティ上の脅威の有無をご確認ください。具体的なセキュリティ上の脅威が想定できれば脆弱性として取扱うことがありますので、届出をしてください。

また、常に再現するわけでない場合や再現条件が不明な場合でも、届出をいただければ、IPAにて再現性を確認し、脆弱性として取扱わせていただくことがあります。

なお、脆弱性として取扱わない場合でも、参考情報として製品開発者やウェブサイト運営者に連絡することがあります。

届出をしていただいて構いません。なお、届出の際に、製品開発者やウェブサイト運営者との連絡状況を記載していただければ、取扱いの参考にさせていただきます。

3ヶ月に1度、脆弱性関連情報に関する届出状況を公表しており、これまでの届出で製品開発者およびウェブサイト運営者が修正にかかった時間を公開していますので、こちらをご参照ください。

→脆弱性関連情報に関する届出状況

JVNでの発見者名の掲載は、届出時に発見者がJVNで掲載してもよいとした場合のみ掲載します。JVNでの掲載を希望しない場合は、届出の際に以下の項目で「記載して欲しくない」にチェックをしてください。

ソフトウエア製品脆弱性関連情報届出様式

1. 届出者情報
3) 対策情報公表時の謝辞への届出者名の記載について

なお、JVN公開時にIPAより参考情報を掲載していますが、こちらにはJVNでの掲載に関わらず、発見者の名前は掲載いたしません。

ウェブサイト運営者、および製品開発者が、届出られた内容の何が問題であるかを理解できるように、届出た内容が脆弱性であると判断した理由を明確に記載してください。

また、届出内容に曖昧な点や不明な点がある場合は、IPAから発見者に確認を行うことがあります。

なお、ウェブアプリケーション（ウェブサイト）の届出の場合、必要以上に調査を行うことによって、ウェブサイト運営者とのトラブルが生じたり、不正アクセス禁止法等に抵触したりする可能性がありますので、ご注意ください。

脆弱性関連情報の届出について定めた告示やガイドラインにて、発見者は「氏名、連絡先等」を明らかにすることが求められています。「氏名」については、ハンドルネーム等ではなく、実名でお願いします。
→ 告示 V. 1. (2) , VI. 1. (2)

「ソフトウエア等脆弱性関連情報取扱基準」（平成16年経済産業省告示 第235号） (41KB)
→ ガイドライン IV. 2. 5) , V. 2. 4)

発見者の情報は個人情報の取扱い方針にしたがい、適切に管理しています。発見者が希望しない場合は、発見者に関する情報が製品開発者やウェブサイト運営者に伝えられることはありませんので、安心して届出をしてください。

製品の届出に関しては、本名で届出いただいた上で、JVNで公表する名前としてハンドルネームを使用することは可能です。JVNでハンドルネームでの掲載を希望する場合はその旨を届出に記載してください。

ウェブサイト運営者の連絡先が不明であれば、空欄のまま届出していただいて構いません。届出いただいた内容を基にIPAにて適切な連絡先を調査します。

届出用のメールアドレス（）に、取扱い番号を明記の上、お問い合わせください。IPAより取扱い状況を回答します。

IPAでは脆弱性の修正をご連絡する際に、発見者が脆弱性の修正を確認する期間として10営業日の期間を設けています。脆弱性が修正されていないことが判明した場合、この期間の内に、修正されていないと判断した理由を具体的にご連絡ください。発見者より脆弱性が修正されていない旨の連絡があった場合、届出の取扱いを続けさせていただきます。

製品開発者との調整を行うJPCERT/CCが製品開発者へ連絡するにあたり、連絡手段が存在しない場合や、定期的に連絡しているにもかかわらず一定期間にわたりまったく応答がない場合には、「連絡不能開発者」と位置づけて該当の製品開発者を公表し、連絡を求めていることを製品開発者本人または製品開発者との連絡方法を知っている方に呼びかけます。
その際、当該届出の発見者に対し、製品開発者からの連絡を求めるためにこの様な手段を取った旨を連絡します。

連絡不能開発者一覧 (開発者情報 公開調査)

→ ガイドライン IV. 3. (2) 2)
→ ガイドライン 付録8 9

取扱い中のソフトウエア製品の届出に関する脆弱性関連情報は、IPAとJPCERT/CCが脆弱性情報を公表するまでの間は、第三者に漏れないように適切に管理してください。これをIPAから発見者に対する情報非開示依頼といいます。脆弱性関連情報の開示に関しては、「Q1-15」も併せて確認してください。
→ ガイドライン IV. 2. 4)

取扱い中のウェブサイトの届出に関する脆弱性関連情報は、脆弱性が修正されるまでの間は第三者に漏れないように適切に管理してください。脆弱性関連情報の開示に関しては、「Q1-15」も併せて確認してください。
→ ガイドライン V. 2. 3)

ガイドラインの「脆弱性関連情報の管理に際しての法的な問題」をご確認の上、脆弱性関連情報の開示の適否をご判断ください。
→ ガイドライン 付録１ 2

起算日から1年間以上経過した取扱い中のソフトウエア製品の届出について、発見者はIPAに対し、情報非開示依頼の取下げを求める事ができます。起算日は、製品開発者に最初に連絡を試みた日として、IPAより発見者に通知します。
→ ガイドライン IV. 2. 4)

起算日が不明な場合は、vuln-info@ipa.go.jp宛に、件名に取扱い番号を明記の上、お問い合わせください。IPAより起算日を回答します。

IPAからウェブサイト運営者に送るメールにはPGP署名をつけており、これがメール本文の前後に記載されます。PGP署名を下記のページにて公開しているIPAの公開鍵で検証することで、IPAからの正式なメールであることを確認することが出来ます。

IPA/ISEC の PGP 公開鍵について

ウェブサイトのサーバやコンテンツの管理を外部の業者に委託している場合でもIPAとの連絡窓口はウェブサイトに責任を持つ企業・組織の方がウェブサイト運営者として担当してください。これは、当該ウェブサイトにおける脆弱性の確認・修正に責任を持つのはウェブサイト運営者と考えているためです。

例えば、http://www.ipa.go.jp/のウェブサイト運営者はIPAとなります。

届出の問題がASPサービスの問題であることが判明した場合は、その旨をIPAにご連絡ください。ASPサービスの問題の場合は、当該サービスを利用する他のウェブサイトも影響を受ける可能性があるため、IPAよりASPサービス事業者に連絡し、対応を依頼します。

IPAとの連絡において、電話やFAXを利用することは可能です。なお、電話やFAXを利用した場合も、間違いや誤解が生じないように、メールで確認をさせていただいています。

届出られた内容はセキュリティ上の問題ですので、第三者への漏洩による悪用を防ぐため、データを暗号化してご連絡しています。

ウェブサイト運営者がPGPでの暗号化に対応できる場合は、ウェブサイト運営者のPGP公開鍵を利用して、届出情報の暗号化を行います。また、PGPを利用できない場合でも、パスワードによる暗号化を施したファイルを利用する等、他の方法で届出情報をご連絡します。

IPAで利用するPGP公開鍵については、下記のページを参照してください。
IPA/ISEC の PGP 公開鍵について

ウェブサイト運営者は届出情報を受け取ったら、まずは、届出られた脆弱性が存在するかどうかを確認してください。脆弱性を確認する方法が不明な場合はIPAにご相談ください。

これは、IPAでは届出られた脆弱性が実際に存在するかを確認しませんので、ウェブサイト運営者自身で脆弱性の有無を確認していただく必要があるためです。IPAでは、記載されている内容の妥当性を判断し、脆弱性が存在する可能性があると判断した段階で届出を受理し、ウェブサイト運営者に連絡しています。

脆弱性が存在することを確認できた場合は、脆弱性への対応を行い、対応が完了したらIPAにご連絡ください。

また、脆弱性が存在しないことが確認できた場合は、脆弱性が存在しないと判断した理由をIPAにご連絡ください。IPAにてご連絡いただいた内容を確認した上で、発見者に脆弱性が存在しない旨を連絡します。
→ガイドライン V. ４

なお、届出情報を連絡する際に、ウェブサイト運営者が取るべき対応について記載したPDFファイルを渡していますので、そちらも参照してください。

届出られた脆弱性を修正するかどうかは、ウェブサイト運営者の責任においてご判断ください。

脆弱性が原因で利用者に個人情報漏洩等の被害が生じる場合には、脆弱性の修正を早急に行うべきであると考えられます。

一方、脆弱性を修正しないという判断が妥当となり得る場合としては、脆弱性による被害がウェブサイト運営者のみに及ぶ場合が考えられます。
→ガイドライン III

ウェブサイト運営者がIPAから届出の報告を受けたり、脆弱性への質問、相談を行ったりする際に、ウェブサイト運営者とIPAとの間で金銭を支払が発生することはありません。

IPAではウェブサイトの運営者、およびウェブアプリケーションの開発者向けに下記の資料を公開しています。脆弱性の対策をする際に参考してください。

IPA セキュリティセンター 「安全なウェブサイトの作り方」

IPA セキュリティセンター「セキュア・プログラミング講座」

また、上記の資料で言及されていない脆弱性や、どのような対策を取ればよいのか分からない場合は、対策についての不明な点などをIPAにご相談ください。

必ずしも、脆弱性による実際の被害が生じたということではありません。届出は脆弱性に関する情報のため、実際の被害については記載されていない場合が多く、IPAでは被害の状況を把握しておりません。

ただし、実際に被害を受けたことにより、脆弱性を発見して届出をしてくる発見者もいます。その場合は、脆弱性による被害があった旨を脆弱性情報と共にウェブサイト運営者に連絡しています。

発見者は当該ウェブサイトの利用者やセキュリティに関心がある方、研究者の方などがいます。

発見者が届出の際に、発見者に関する情報をウェブサイト運営者に連絡してもよいとしている場合は発見者の情報をウェブサイト運営者に連絡できますが、それ以外の場合は、脆弱性に関する情報のみをご連絡します。
→ガイドライン V．2. 4)

脆弱性を公表する必要があるかどうかについては、ウェブサイト運営者の判断に委ねています。
ただし、個人情報の漏洩が発生した場合は、ウェブサイト上でその旨を公表してください。
これは、個人情報の悪用による二次被害を防ぐため、また当該個人が問題を把握することができるようにするため、お願いしているものです。公表する項目についてはガイドラインを参照してください。
→ガイドライン V. 4. 5)