HOME情報セキュリティ届出・相談脆弱性関連情報の届出脆弱性関連情報の届出受付業務における取扱いプロセス

本文を印刷する

情報セキュリティ

脆弱性関連情報の届出受付業務における取扱いプロセス

2015年 7月 23日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

脆弱性関連情報の届出受付業務の取扱いプロセス

2004年7月7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」(平成26年経済産業省告示第110号(平成16年経済産業省告示第235号の改正))を公示し、脆弱性関連情報の届出の受付機関として独立行政法人 情報処理推進機構(IPA)、脆弱性関連情報に関して製品開発者への連絡および公表に係る調整機関として一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が指定されました。
IPA は、届出受付機関として届出された脆弱性関連情報を下記のとおり取扱います。

ソフトウエア製品の取扱いプロセス

ソフトウエア製品の取扱いプロセス

1.届出の受付
発見者からの届出を受付ます。

2.届出の受理/不受理の決定
記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。

3.JPCERT/CC への脆弱性関連情報の連絡
IPAは、脆弱性関連情報をJPCERT/CC に連絡します。

4.製品開発者へ連絡
JPCERT/CCは、製品開発者の連絡先を調査し、製品開発者へ脆弱性関連情報を連絡します。

5.起算日の連絡
JPCERT/CC は製品開発者への連絡を開始した旨(起算日)、および、製品開発者へ詳細情報を連絡した旨をIPAへ連絡します。IPAは起算日、および、詳細情報連絡日を発見者へ連絡します。

6.製品開発者による対応
JPCERT/CCは、製品開発者に対して脆弱性関連情報に係る以下の対応を依頼します。
(1) 連絡窓口の設置
(2) JPCERT/CCへ検証結果の報告、脆弱性評価、影響を鑑みた一般公表までのスケジュールの作成
(3) 対策方法の作成
(4) JPCERT/CCへ対応状況の報告

7. 対応状況の受付
JPCERT/CCは、製品開発者の対応状況をIPAと共有します。また、発見者は、IPAへ進捗状況の問い合わせを行なう事ができます。

8.公表日の調整
JPCERT/CCは製品開発者と脆弱性関連情報に係る公表日を調整します。

9. 対応状況(対策方法)の公表
IPA、JPCERT/CCは、脆弱性関連情報に係る対応状況(対策方法)をポータルサイト(JVN)にて公表します。また、公表した際は、その旨を発見者へ連絡します。

10. 統計情報の公表
IPA、JPCERT/CCは、脆弱性に係る実態の周知徹底、被害の予防のため、脆弱性関連情報に係る統計情報を公表します。

ウェブアプリケーションの取扱いプロセス 

ウェブアプリケーションの取扱いプロセス

1. 届出の受付
発見者からの届出を受付ます。

2.届出の受理/不受理の決定
記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。

3.ウェブサイト運営者への連絡
ウェブサイト運営者の連絡先を調査し、脆弱性関連情報を連絡します。連絡先が見つからない場合や、返信がない場合などは、取扱いを終了することがあります。

4.取扱い開始連絡
発見者へ、ウェブサイト運営者に脆弱性関連情報を連絡した旨(取扱い開始連絡)を連絡します。

5.ウェブサイト運営者による対応
ウェブサイト運営者に対して脆弱性関連情報に係る以下の対応を依頼します。
(1) 窓口の設置および脆弱性関連情報の受領連絡
(2) IPAへ脆弱性関連情報に係る検証結果の報告
(3) IPAへ対応状況の報告
(4) 脆弱性評価、影響を鑑みた修正の実施
(5) 個人情報漏洩などの可能性がある場合は、二次被害の防止のため事実関係を公表

6.修正完了の連絡
ウェブサイト運営者から脆弱性関連情報に係る修正完了の報告を受領した場合、その旨を発見者に連絡します。

7.統計情報の公表
IPAは、脆弱性に係る実態の周知徹底、被害の予防のため、脆弱性関連情報の届出受付業務に係る統計情報を公表します。その際、届出のウェブサイトが判別可能な情報は公表しません。

自社製品の取扱いプロセス

自社製品の取扱いプロセス

1. 届出の受付
製品開発者からの届出を受付ます。

2.届出の受理/不受理の決定
記入項目に不備がないか、脆弱性であるか否か等を確認し、製品開発者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、製品開発者へ確認を行うことがあります。

3.JPCERT/CC への脆弱性関連情報の連絡
IPAは、脆弱性関連情報をJPCERT/CC に連絡します。

4.製品開発者へ連絡
JPCERT/CCは、届出に記載された製品開発者の連絡先へ連絡を行います。

5. 製品開発者による対応
JPCERT/CCは、製品開発者に対して脆弱性関連情報に係る以下の対応を依頼します。
(1) 連絡窓口の設置
(2) 対策方法の作成

6.公表日の調整
JPCERT/CCは製品開発者と脆弱性関連情報に係る公表日を調整します。

7.対応状況(対策方法)の公表
IPA、JPCERT/CCは、脆弱性関連情報に係る対応状況(対策方法)をポータルサイト(JVN)にて公表します。

8.統計情報の公表
IPA、JPCERT/CCは、脆弱性に係る実態の周知徹底、被害の予防のため、脆弱性関連情報の届出受付業務に係る統計情報を公表します。

更新履歴

  • 2004年7月 8日 「脆弱性関連情報の取扱いプロセス」を掲載
  • 2015年7月23日 ソフトウェア製品、ウェブアプリケーションの取扱いプロセスを改訂、自社製品の取扱いプロセスを追加