情報システム等の脆弱性情報の取扱いにおける報告書

　IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会（以降、研究会）」（座長：土居 範久慶應義塾大学名誉教授）において、昨年度の研究会での調査結果を踏まえ、今年度は、製品開発者へのヒアリングで要望のあった製品開発者が実施すべき脆弱性対処についての方策の検討、一般消費者が脆弱性対処されたネット接続製品を選定し、安全に利用する方策を検討しました。
2019年度の研究会の活動成果として、以下の報告書を公開しました。

本ページメニュー 　　●情報システム等の脆弱性情報の取扱いに関する研究会　2019年度報告書 　　●脆弱性対処に向けた製品開発者向けガイド 　　●ネット接続製品の安全な選定/利用ガイド 　　●資料のダウンロード 　　●関連資料

　2019年度研究会の活動成果をまとめた報告書を公開しました。

■資料の構成（目次）

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
　1.1. 背景
　1.2. 運用の状況
　1.3. 本年度研究会における検討
2. ソフトウェア製品の脆弱性対処促進に関する調査
　2.1. 調査の概要
　2.2. 調査結果
3. 一般消費者のリテラシー向上に関する調査
　3.1. 調査の概要
　3.2. 調査結果
4. サポート終了製品のパートナーシップにおける取扱いに関する調査
　4.1. 調査の概要
　4.2. 調査結果
5. パートナーシップガイドラインの改訂等に関する調査
　5.1. 調査結果

参考1　2019年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2　脆弱性研究会の検討経緯

　製品開発者が実施すべき脆弱性対処について文献調査を基に抽出した12項目をまとめた「脆弱性対処に向けた製品開発者ガイド」を公開しました。各項目は実施すべき対処を段階的に示しており、製品開発者の状況に応じて実施できるようにしています。あわせて、実施している対処の開示方法も記載しており、実施した対処を開示することで一般消費者が確認できるようになります。

　一般消費者が脆弱性対処されたネット接続製品を選定するととともに、購入したネット接続製品を安全に利用するポイントをまとめた「ネット接続製品の安全な選定/利用ガイド」を公開しました。本ガイドで推奨している確認・実施項目は、製品開発者向けガイドで対処、公表すべき項目と整合性を取っています。

■2019年度 新規公開資料

　前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

• 2018年度（法律面の調査報告書改訂など）
  
• 2017年度（IoT製品・サービス開発者のセキュリティ対策と意識の調査結果など）
  
• 2016年度（重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準など）
  
• 2015年度（新たな情報セキュリティ早期警戒パートナーシップの基本構想など）
  
• 2014年度（制御システム利用者のための脆弱性対応ガイドなど）
  
• 2013年度（グローバル化の課題と今後の方針 調査報告書など）
  
• 2012年度（企業ウェブサイトのための脆弱性対応ガイドなど）
  
• 2011年度（地方公共団体のための脆弱性対応ガイドなど）
  
• 2010年度（セキュリティ担当者のための脆弱性対応ガイドなど）
  
• 2008年度（ウェブサイト構築事業者のための脆弱性対応ガイドなど）
  
• 2007年度（ウェブサイト運営者のための脆弱性対応ガイドなど）
  
• 2006年度（ソフトウェア製品開発者による脆弱性対策情報の公表マニュアルなど）
• 2005年度（組込みソフトウェアのセキュリティ対策のポイント集など）
• 2004年度（運用実績を踏まえた問題点整理と今後の取組み）
• 2003年度（情報システム等の脆弱性情報の取扱いにおける法律面の調査など）

IPA セキュリティセンター 板橋/土屋
TEL：03-5978-7527　FAX：03-5978-7552 E-mail：