2004年7月7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)を公示し、脆弱性関連情報の届出の受付機関として独立行政法人 情報処理推進機構(IPA)、脆弱性関連情報に関して製品開発者への連絡及び公表に係る調整機関として一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が指定されました。
これを受け、IPAではソフトウエア製品およびウェブアプリケーションの脆弱性に関する情報の届出の受け付けを開始しました。
現在、ウェブ届出フォームは停止しております。ご不便をお掛けして申し訳ありませんが、届出については電子メールで届出頂けますよう、よろしくお願い致します。
脆弱性対策情報はこちら
脆弱性に関する届出状況 >>一覧
| 4月23日掲載 | 2013年第1四半期(1月〜3月) |
|---|
JVN iPediaの登録状況 >>一覧
| 4月18日掲載 | 2013年第1四半期(1月〜3月) |
|---|
告示・ガイドライン
告示
- ソフトウエア等脆弱性関連情報取扱基準(41KB)
(平成16年経済産業省告示 第235号)
ガイドライン等
| 2011年3月 | 「情報セキュリティ早期警戒パートナーシップガイドライン」の2010年版を公開 |
|---|
関係者(発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者)に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
- ガイドライン -2010年版- (581KB)
- ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル(309KB)
- ウェブサイト運営者のための脆弱性対応ガイド(721KB)
- ウェブサイト構築事業者のための脆弱性対応ガイド(739KB)
- セキュリティ担当者のための脆弱性対応ガイド(989KB)
- パンフレット「情報システムを安全にお使いいただくために」(274KB)
届出情報の取扱い方法
IPA は、届出を受けた脆弱性関連情報を、以下の方針等に従い取扱います。
- 脆弱性関連情報の届出における個人情報の取扱い方針
届出を受けた脆弱性関連情報における個人情報(発見者、ウェブサイト運営者)の取扱い方針です。
- 脆弱性関連情報等取扱い方針
届出を受けた脆弱性関連情報の取扱い方針です。
- 脆弱関連情報の取扱いプロセス
届出を受けた脆弱性関連情報については、本プロセスに基づいて取扱います。
- 脆弱性関連情報の届出関連 FAQ
情報システム等の脆弱性情報の取扱いに関する研究会 報告書
届出の対象
IPAでは、以下の脆弱性関連情報の届出を受付けています。
(1) ソフトウエア製品脆弱性関連情報
OSやブラウザ等のクライアント上のソフトウエア、ウェブサーバ等のサーバ上のソフトウエア、プリンタやICカード等のソフトウエアを組み込んだハードウエア等に対する脆弱性を発見した場合に届け出てください。脆弱性そのものの情報以外にも、検証方法や攻撃方法、回避方法などについての情報についても届出を受付けます。
(2) ウェブアプリケーション脆弱性関連情報
インターネットのウェブサイトなどで、公衆に向けて提供するそのサイト固有のサービスを構成するシステムに対する脆弱性を発見した場合に届け出てください。
脆弱性とは
脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るものをいいます。
また、本届出の仕組みにおいては、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。
※ インターネット上で公開されている、脆弱性を発見・検証するツール等は、その動作をよく把握せずに使用すると、サーバに障害を発生させる可能性があります。また、脆弱性を発見するために、他人のサーバに対し、許可を得ずにツールを実行しないでください。
※ 脆弱性関連情報取扱いの仕組みは、関係者の善意により成り立つものであり、IPAでは以下のことは実施できません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。
- 届出者に対する、脆弱性関連情報の秘匿の強制
- 製品開発者に対する、脆弱性への対策の強制
- ウェブサイト運営者に対する、脆弱性の修正の強制
脆弱性関連情報の届出先
届出を頂く際には、以下の 2つの方法のどちらかをご利用ください。
(1) 電子メール
下記のPGP暗号鍵による暗号化をお願い致します。
| 電子メールアドレス |  |
|---|---|
| PGP暗号鍵 | https://www.ipa.go.jp/security/pgp/index.html |
届出の際には、以下の届出様式をご利用ください。
| 届出の種類 | 説明 | 届出様式 | 記入例 | 記入の手引き |
|---|---|---|---|---|
| ソフトウエア製品脆弱性 関連情報の届出 |
上記「届出の対象」の(1) | こちら | こちら | こちら |
| ウェブアプリケーション 脆弱性関連情報の届出 |
上記「届出の対象」の(2) | こちら | こちら | こちら |
| 検証コードの届出 | ソフトウエア製品の脆弱性に対する検証コードで、すでに対策が公表されている場合 | こちら | こちら | こちら |
| 自社製品に関する 脆弱性関連情報の届出 |
ソフトウエア製品の脆弱性で、製品開発者自身が発見し、利用者への周知のためにJVNで対策情報を公開したい場合 | こちら | こちら | こちら |
(2) ウェブ届出フォーム
>> ウェブ届出フォームから届出を行う(現在停止中)
脆弱性関連情報の届出に関するお問い合わせ
更新履歴
| 2004年 7月14日 | 「届出の対象」に脆弱性の説明を掲載 |
|---|---|
| 2004年 7月14日 | 「脆弱性関連情報の届出に関するお問い合わせ」を掲載 |
| 2004年10月19日 | 届出時における暗号化について追記 |
| 2005年 2月 1日 | ウェブ届出フォームを追加 |
| 2005年 5月31日 | 届出情報の取扱い方針を変更 |
| 2005年 9月 5日 | ソフトウエア製品脆弱性関連情報の届出様式および記入例を一部変更 |
| 2005年12月19日 | ソフトウエア製品脆弱性関連情報の届出様式および記入例を一部変更 |
| 2006年 9月 1日 | 届出様式を変更 自社製品に関する脆弱性関連情報の届出様式一式を追加 |
| 2006年12月19日 | 「情報セキュリティ早期警戒パートナーシップガイドライン」へのリンクを追加 |
| 2007年 6月 1日 | 届出様式を変更 |
| 2008年 3月28日 | ウェブ届出フォームをリニューアル |
| 2013年 3月27日 | ウェブ届出の記入例をリニューアル |