ウェブアプリケーション脆弱性関連情報届出様式の記入の手引き
2006年9月1日

                                         独立行政法人 情報処理推進機構
                                                  セキュリティセンター

======================================================================

1. 届出様式について
  1.1 届出様式を使用する目的
  1.2 届出様式の入手方法

2. 届出様式に記入する際の注意事項とお願い

3. 脆弱性関連情報の届出の記入例について

4. 届出様式の各項目について

======================================================================


1. 届出様式について

  1.1 届出様式を使用する目的

    独立行政法人情報処理推進機構（IPA）では、脆弱性関連情報の届出に際
  し、できる限り正確な情報を届出いただき、迅速に対応するために、届出様
  式への記入による届出をお願いしています。

  1.2 届出様式の入手方法

    届出様式は、以下の URL をご覧の上、ご利用下さい。

    ウェブアプリケーション脆弱性関連情報：
    http://www.ipa.go.jp/security/vuln/report/form_web.txt

2. 届出様式に記入する際の注意事項とお願い

  届出様式に記入する際には以下の点にご注意下さい。

  - 各項目には記入できる範囲で記入して下さい。記入する内容が特定できな
    い場合や、記入することがない場合はその旨を記入してください。（不明
    な点がある場合、IPA から内容の確認をさせていただくことがあります。）

  - IPAへのご要望がある場合には、その内容を明確に記入して下さい。


3. 脆弱性関連情報の届出の記入例について

  脆弱性関連情報の届出の記入例を、以下の URL にて公開しています。記入
の際の参考としてご覧下さい。

    ウェブアプリケーション脆弱性関連情報の届出様式の記入例
    http://www.ipa.go.jp/security/vuln/report/sample_web.txt


4. 届出様式の各項目について

----------------------------------------------------------------------

[1. 届出者情報] の記入について
  1) 届出者連絡先情報
    届出いただいた脆弱性の再現環境や手法などについて、質問をさせていた
  だくことがあります。そのため、必ず連絡が取れる連絡先を記入してくださ
  い。


  2) 届出者情報の取り扱いについて
    届出いただいた脆弱性関連情報について、ウェブサイト運営者から届出者
  に対して確認したい事項がある場合、通常は IPA を通じて届出者に質問が
  届きます。1) で記入していただいた届出者情報をウェブサイト運営者に通
  知することで、仲介の段階を減らし、より迅速に対処することが出来ます。
  届出者情報の取り扱いについて、下記の2つから選択してください。

    □ 届出者情報をウェブサイト運営者に知らせても良い
      ウェブサイト運営者に届出者情報を通知し、脆弱性関連情報に関して
      ウェブサイト運営者と直接やりとりをしても良い場合は、こちらを選択
      してください。

    □ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりを
       IPA とのみ行う
      すべてのやりとりをIPAとのみ行いたい場合は、こちらを選択してくだ
      さい。



[2. 脆弱性関連情報] の記入について

　1) 脆弱性を確認したウェブサイトのURL
      脆弱性が存在することを確認したウェブサイトのURLを記入してくださ
    い。

  2) 脆弱性の種類
      どのような脆弱性かを簡潔に記入してください。

  3) 脆弱性の発見に至った経緯
      脆弱性を発見した際に、何をしたらどうなったかを記入してください。

  4) 脆弱性であると判断した理由
      3) の結果を受けて、なぜ脆弱性（セキュリティ上の問題）であると判
    断したのか、その理由について記入してください。

  5) 脆弱性により発生しうる脅威
      この脆弱性によりどのような脅威が発生しうるかを記入してください。
    また、この脆弱性が実際に悪用されてしまうと、どのような影響が出るこ
    とが予想されるか、おわかりの場合はそれを記入してください。

  6) ウェブサイトの連絡窓口
      このウェブサイトの連絡窓口がわかる場合には記入してください。

  7) その他
      上記のほか、この脆弱性に関する情報がある際には記入してください。


[3. IPA 以外の組織への届出について の記入について

  当該ウェブサイト運営者や第三者機関など、IPA 以外の組織に対し、この脆
弱性関連情報について届出を行っている場合には、その届出に関する情報を可
能な範囲で記入してください。


[4. 今後の連絡について] の記入について
  上記のほか、IPA に特に伝えておきたい事項があれば記入してください。め


  1) IPA からの連絡における暗号化
     □ 希望する        □ 希望しない
     ※希望する場合は、公開鍵を添付してください。

      IPAから連絡をする場合に、暗号化を希望するかどうかを選択してくだ
    さい。暗号化を希望する場合には、PGP公開鍵を添付して送付してくださ
    い。


[5. その他] の記入について
  上記のほか、IPA に特に伝えておきたい事項があれば記入してください。

----------------------------------------------------------------------

_________

改訂履歴
2005年12月19日	届出様式の変更に伴い、修正
2006年 9月 1日	届出様式の変更に伴い、修正