脆弱性関連情報の取扱いプロセス
2004年 7月 8日
独立行政法人 情報処理推進機構
セキュリティセンター
2004年7月7日に経済産業省が「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235号)を公示し、脆弱性関連情報の届出の受付機関として独立行政法人 情報処理推進機構(IPA)、脆弱性関連情報に関して製品開発者への連絡及び公表に係る調整機関として一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が指定されました。
IPAおよびJPCERT/CCは、届出を受けた脆弱性関連情報について、以下のように取扱います。
ソフトウエア製品に関する脆弱性関連情報の場合
- 1. 届出の受付
- 発見者からの届出を受け付けます。
- 2. 届出情報の確認
- 記入項目に不備がないこと、既知の脆弱性情報ではないことなどを確認し、発見者への確認が必要な場合は連絡します。
- 3. 届出受理の通知
- 2 の結果を踏まえ、届け出られた情報を受理するかどうかを判断します。受理する場合は、IPA から発見者へ届出を受理した旨をメールにて通知します。
- 4. JPCERT/CC への脆弱性関連情報の通知
- 脆弱性関連情報を、JPCERT/CC に通知します。脆弱性関連情報は、JPCERT/CCから製品開発者に通知します。
- 5. 脆弱性に関する問い合わせ
- 製品開発者が脆弱性の存在有無を確認する際に、発見者の了解がある場合には、問い合わせをさせていただくことがあります。
- 6. 脆弱性情報公表日の受理
- JPCERT/CCを通じ、製品開発者から脆弱性情報公表日の通知を受けます。
- 7. 対応状況(脆弱性検証の結果および対策方法、取り組みの状況等)の公表
- 届け出られた脆弱性に対する製品開発者の対応状況をJPCERT/CCと共同運営するポータルサイト(JVN)にて公表します。また、公表に際しては、発見者にその旨通知します。
ウェブアプリケーションに関する脆弱性関連情報の場合
- 1. 届出の受付
- 発見者からの届出を受け付けます。
- 2. 届出情報の確認
- 記入項目に不備がないことを確認し、発見者への確認が必要な場合は連絡します。
- 3. 届出受理の通知
- 2 の結果を踏まえ、届け出られた情報を受理するかどうかを判断します。受理する場合は、IPA から発見者へ届出を受理した旨をメールにて通知します。
- 4. ウェブサイト運営者への通知
- ウェブサイト運営者の連絡先を調査し、脆弱性情報を通知します。連絡先が見つからない場合や、返信がない場合などは、取扱を終了することがあります。
- 5. 修正に関する問合せ
- ウェブサイト運営者に対し、修正に関する問い合わせを行います。ウェブサイト運営者が脆弱性の有無を確認する際、発見者への質問の仲介や確認作業に対する協力を行います。
- 6. 修正通知の受理
- ウェブサイト運営者から脆弱性の修正の通知を受理します。また、修正について、発見者に通知します。
- 7. 統計情報の公表
- 届出情報を集計し、統計情報をウェブサイトにて公表します。