HOME情報セキュリティ届出・相談・情報提供脆弱性関連情報の届出受付

本文を印刷する

情報セキュリティ

脆弱性関連情報の届出受付

脆弱性関連情報の届出受付とは 

脆弱性関連情報の届出受付とは  |  届出の対象  |  届出の取扱い方法   | 届出先  | お問い合わせ  | 参考情報  | 

脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004 年7月7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)を公示しました。脆弱性関連情報の届出の受付機関として独立行政法人 情報処理推進機構(IPA)、脆弱性関連情報に関して製品開発者への連絡および公表に係る調整機関として一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が指定されました。
また、2014年5月14日に改正された「ソフトウエア等脆弱性関連情報取扱基準」(平成26年経済産業省告示第110号)にて、製品開発者と連絡不能なソフトウエア製品の脆弱性関連情報の公表に係る公表判定機関として、IPAが指定されました。

これを受け、IPAではソフトウエア製品およびウェブアプリケーションの脆弱性に関する情報の届出の受付け、および、ソフトウエア製品における連絡不能案件の公表判定を開始しました。

留意事項
脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。
  • 発見者に対する、脆弱性関連情報の秘匿の強制
  • 製品開発者に対する、脆弱性への対策の強制
  • ウェブサイト運営者に対する、脆弱性の修正の強制

下記リンクより届出が可能です。
webmail

ウェブ届出フォームについては、公開に向けて準備中です。ご不便をお掛けして申し訳ありませんが、届出については電子メールで届出頂けますよう、よろしくお願い致します。

届出の対象

IPAでは、以下の脆弱性関連情報の届出を受付けています。

(1) ソフトウエア製品脆弱性関連情報
OS やブラウザ等のクライアントPC上のソフトウエア、ウェブサーバ等のサーバ上のソフトウエア、プリンタやICカード等のソフトウエアを組み込んだハードウエア等に対する脆弱性を発見した場合に届け出てください。脆弱性そのものの情報以外にも、検証方法や攻撃方法、回避方法などについての情報についても届出を受付けます。

(2) ウェブアプリケーション脆弱性関連情報
インターネットのウェブサイトなどで、公衆に向けて提供するそのサイト固有のサービスを構成するシステムに対する脆弱性を発見した場合に届出てください。

脆弱性とは

脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るものをいいます。
また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。

届出の取扱い方法

IPA は、届出を受けた脆弱性関連情報を、以下の告示、ガイドライン、取扱い方針等に従い取扱います。

告示

ガイドライン

情報セキュリティ早期警戒パートナーシップガイドライン -2016年版-(PDF:1.8MB)
告示を踏まえ、関係業界と協調して国内におけるソフトウエア等の脆弱性関連情報を適切に取扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しました。関係者(発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者)に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者およびウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。

情報セキュリティ早期警戒パートナーシップの紹介 - 脆弱性取扱プロセスの要点解説 -(PDF:369KB)
関係者の方(発見者、製品開発者、ウェブサイト運営者)にご理解頂きたい告示・ガイドラインの要点を纏めたものです。

取り扱い方針

届出先

届出の際には、以下の 2つの方法のどちらかをご利用ください。

(1) 電子メール
下記の届出様式に則り必要事項を記入の上、メールでご連絡ください。IPAでは PGP公開鍵による暗号化を推奨しています。ただし、暗号化は必須ではありません。
電子メールアドレス vuln-info@アイピーエー.go.jp
電子メールの件名 記入の手引きに記載している内容を記入してください。
PGP暗号鍵 https://www.ipa.go.jp/security/pgp/index.html
届出の際には、以下の届出様式をご利用ください。
届出の種類 説明 届出様式 記入例 記入の手引き
ソフトウエア製品脆弱性関連情報 上記「届出の対象」の(1) 様式 記入例 手引き
ウェブアプリケーション脆弱性関連情報 上記「届出の対象」の(2) 様式 記入例 手引き
検証コード ソフトウエア製品の脆弱性に対する検証コードで、すでに対策が公表されている場合 様式 記入例 手引き
自社製品に関する脆弱性関連情報 ソフトウエア製品の脆弱性で、製品開発者自身が発見し、利用者への周知のためにポータルサイトJVNで対策情報を公表したい場合 様式 記入例 手引き
(2) ウェブ届出フォーム(現在停止中)
ウェブ届出フォームの案内に従い、必要事項を記入してください。
web

お問い合わせ

よくある質問に対する回答をFAQに掲載しています。

脆弱性関連情報の届出関連 FAQ

FAQに回答がない場合は、以下までお問い合わせください。
電子メールアドレス vuln-ing@アイピーエー.go.jp

※届出に関する質問の窓口です。届出については、脆弱性関連情報の届出先までお願いします。

参考情報

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

  • 2015年度(新たな情報セキュリティ早期警戒パートナーシップの基本構想など)
  • 2014年度(制御システム利用者のための脆弱性対応ガイドなど)
  • 2013年度(パートナーシップにおけるグローバル化の調査報告書など)
  • 2012年度(企業ウェブサイトのための脆弱性対応ガイドなど)
  • 2011年度(地方公共団体のための脆弱性対応ガイドなど)
  • 2010年度(セキュリティ担当者のための脆弱性対応ガイドなど)
  • 2008年度(ウェブサイト構築事業者のための脆弱性対応ガイドなど)
  • 2007年度(ウェブサイト運営者のための脆弱性対応ガイドなど)
  • 2006年度(ソフトウエア製品開発者による脆弱性対策情報の公表マニュアルなど)
  • 2005年度(組込みソフトウェアのセキュリティ対策のポイント集など)
  • 2004年度(運用実績を踏まえた問題点整理と今後の取組み)
  • 2003年度情報システム等の脆弱性情報の取扱いにおける法律面の調査など

脆弱性関連情報の届出状況(統計情報)

脆弱性対策情報データベースJVN iPediaの登録状況(統計情報)

更新履歴

2004年 7月14日 「届出の対象」に脆弱性の説明を掲載
2004年 7月14日 「脆弱性関連情報の届出に関するお問い合わせ」を掲載
2004年10月19日 届出時における暗号化について追記
2005年 2月 1日 ウェブ届出フォームを追加
2005年 5月31日 届出情報の取扱い方針を変更
2005年 9月 5日 ソフトウエア製品脆弱性関連情報の届出様式および記入例を一部変更
2005年12月19日 ソフトウエア製品脆弱性関連情報の届出様式および記入例を一部変更
2006年 9月 1日  届出様式を変更 自社製品に関する脆弱性関連情報の届出様式一式を追加
2006年12月19日 「情報セキュリティ早期警戒パートナーシップガイドライン」へのリンクを追加
2007年 6月 1日 届出様式を変更
2008年 3月28日 ウェブ届出フォームをリニューアル
2014年 3月17日 ソフトウエア製品脆弱性関連情報の届出様式および記入例、記入の手引きを一部変更
2014年 5月27日 ソフトウエア等脆弱性関連情報取扱基準の改正を追記
2014年 5月30日 「情報セキュリティ早期警戒パートナーシップガイドライン」へのリンクを2014年版に変更
2015年 3月26日 各種ガイド等の追加や更新と2014年度報告書を追加
2015年 4月8日 ソフトウエア製品脆弱性関連情報およびウェブアプリケーション脆弱性関連情報の届出様式および記入例を一部変更
2015年 5月22日 「情報セキュリティ早期警戒パートナーシップガイドライン」2015年版公開に伴うガイドラインの差し替え
2015年 7月23日 本ページを全面改訂
2016年 3月31日 制御システム利用者のための脆弱性対応ガイド 第2版と2015年度報告書を追加
2016年 4月14日 電子メールでの届出様式および記入の手引の一部を変更
2016年 5月30日 「情報セキュリティ早期警戒パートナーシップガイドライン」2016年版公開に伴うガイドラインの差し替え