HOME情報セキュリティ情報セキュリティ対策脆弱性対策情報セキュリティ早期警戒パートナーシップガイドライン

本文を印刷する

情報セキュリティ

情報セキュリティ早期警戒パートナーシップガイドライン

最終更新日:2019年5月30日
独立行政法人 情報処理推進機構
セキュリティセンター


IPAおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久、慶応義塾大学名誉教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドライン(*1)(以降「ガイドライン」)を改訂し、2019年版をIPAおよびJPCERT/CCのウェブサイトで公開しました。

「情報セキュリティ早期警戒パートナーシップガイドライン」の2019年版を公開

「情報セキュリティ早期警戒パートナーシップ」は、ソフトウェア製品及びウェブアプリケーションに関する脆弱性関連情報の円滑な流通、および対策の普及を図るため、公的ルールに基づく官民の連携体制として整備されました。2004年7月8日の運用開始から2019年3月末までに脆弱性関連情報の届出は14,212件に達しました。

この度、IPAおよびJPCERT/CCは、2018年度「情報システム等の脆弱性情報の取扱いに関する研究会」にて調整不能案件の一覧への掲載、公表手続きの改善に向けた検討、法的課題の整理などを実施し、その内容を研究会に報告し合意を得た上で、以下の項目についてガイドラインの修正を行い公開しました。

  • 調整不能案件の一覧への掲載、公表手続きの改善に向けた検討結果の反映
  • ガイドラインの受理後の対応のうち、処理を取り止めることができる条件を告示の表現に合わせる
  • 条件の解釈を拡大し、本制度で取扱価値があるか否かの条件を追加
  • 法的課題の整理結果の反映
  • 法務専門家の検討結果を基に以下の通り修正
  • 用語の定義やガイドラインの適用範囲等の修正
  • 受理要件に関する表現の修正
  • 法律の改正や最新の判例に合わせた修正
  • 表現等の軽微な修正反映
  • 誤字脱字や表現の揺れ、参照文献のURLの更新等の軽微な修正

詳しくは、以下報告書(6.パートナーシップガイドラインの改訂等に関する調査)を参照下さい。

「情報システム等の脆弱性情報の取扱いに関する研究会」2018年度報告書(全73ページ)PDF(PDF:1.9MB)

脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者及びウェブサイト運営者は脆弱性に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。

資料のダウンロード

参考情報

過去の「情報セキュリティ早期警戒パートナーシップガイドライン」

国内における枠組みと JPCERT/CC の役割について(JPCERT/CC)

製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(JEITA・JISA)

製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン(CSAJ(旧JPSA))

SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス(JISA・JEITA)

(*1) 情報セキュリティ早期警戒パートナーシップガイドラインとは

「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。

IPA、JPCERT/CC、一般社団法人 電子情報技術産業協会(略称:JEITA)、一般社団法人 コンピュータソフトウェア協会(略称:CSAJ)、一般社団法人 情報サービス産業協会(略称:JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用しています。

本件に関するお問い合わせ先

IPA セキュリティセンター 渡辺/板橋
Tel: 03-5978-7527 Fax: 03-5978-7552
E-mail:vuln-ing@アイピーエー.go.jp

JPCERT/CC 早期警戒グループ 椎木/洞田
Tel: 03-6271-8901 Fax: 03-6271-8908
E-mail:vultures@ジェイピーcert.or.jp

更新履歴