情報セキュリティ

情報システム等の脆弱性情報の取扱いに関する調査の報告書などを公開

最終更新日:2024年3月27日

独立行政法人情報処理推進機構
セキュリティセンター

IPAは、「情報システム等の脆弱性情報の取扱いに関する研究会」における2023年度の活動成果として、情報システム等の脆弱性情報の取扱いに関する調査の報告書や情報セキュリティ早期警戒パートナーシップガイドライン改訂案などを公開しました。

 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)において、今年度は製品開発者との調整の過程において発生している課題やパートナーシップの運用改善事項等について、「脆弱性の悪用を示す情報に関する情報の取扱い」や「製品開発者がすべての製品利用者に通知する場合における取扱いの終了」等に関する調査を実施し、それらの調査結果やこれまでの調査結果、製品開発者の状況等を踏まえて検討を行い、情報セキュリティ早期警戒パートナーシップガイドライン及びソフトウエア製品開発者による脆弱性対策情報の公表マニュアルの改訂に取り組みました。
 また、優先情報提供における提供先の拡大や内容拡充等について、提供先となり得る組織及び製品開発者にヒアリングを実施し、2023年度の研究会の活動成果として、以下の報告書などを公開しました。

本ページメニュー

情報システム等の脆弱性情報の取扱いに関する研究会 2023年度報告書

 2023年度研究会の活動成果をまとめた報告書を公開しました。

資料の構成(目次)

  • 1. 情報セキュリティ早期警戒パートナーシップの現状と課題
    • 1.1. 背景
    • 1.2. 運用の状況
    • 1.3. 本年度研究会における検討
  • 2. 製品開発者と調整する過程における3つの課題に関する調査
    • 2.1. 調査の概要
    • 2.2. 脆弱性の悪用を示す情報に関する情報の取扱い等に関する課題
    • 2.3. 製品開発者の脆弱性への対応目途(45日)に関する課題
    • 2.4. 「製品開発者がすべての製品利用者に通知する場合」における取扱い終了に関する課題
  • 3. 優先情報提供の内容拡充等に関する調査
    • 3.1. 調査の概要
    • 3.2. ISAC等組織に関する文献調査
    • 3.3. ISAC等組織に関するヒアリング調査
    • 3.4. 情報共有体制に関する文献調査
    • 3.5. 脆弱性情報の取扱いにおけるより早い段階での情報の提供に向けた調査
    • 3.6. 優先情報提供する情報の内容の拡大に向けた調査
    • 3.7. その他の検討事項・意見
  • 4. パートナーシップの運用改善事項等の調査及びPガイドラインへの反映
    • 4.1. 調査の概要
    • 4.2. 調整不能案件の改善に関する調査及びPガイドラインへの反映
    • 4.3. その他軽微な修正
  • 5. Pガイドラインの改訂等
    • 5.1. Pガイドライン改訂案作成
    • 5.2. 公表マニュアルの改訂
  • 6. 今後の課題
  • 参考1 2023年度 情報システム等の脆弱性情報の取扱いに関する研究会 参加者名簿
  • 参考2 検討経緯

情報セキュリティ早期警戒パートナーシップガイドライン 改訂案

  •  情報セキュリティ早期警戒パートナーシップガイドラインについて、主に下記の3点を変更しました。
    • 「製品開発者がすべての製品利用者に通知する場合」における取扱い終了に関する検討結果の反映
    • 製品開発者への連絡及び公表に係る調整が不可能であると判断した届出における取扱い終了に関する検討結果の反映
    • 参照している資料の名称及びURLを最新化

 詳しくは、「情報システム等の脆弱性情報の取扱いに関する研究会 2023年度報告書」を参照ください。

 ガイドライン改訂案へのパブリック・コメントについては、2024年3月27日~2024年4月25日の期間で受け付けます。以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。

ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第6版

  •  ソフトウエア製品開発者による脆弱性対策情報の公表マニュアルについて、主に下記の2点を変更しました。
    • 脆弱性の悪用を示す情報に関する情報の取扱い等に関する検討結果の反映
    • 組織名や参照している資料の名称及びURLを最新化

 詳しくは、「情報システム等の脆弱性情報の取扱いに関する研究会 2023年度報告書(P48、5.2.公表マニュアルの改訂)」を参照ください。

資料のダウンロード

2023年度 新規公開資料

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

  • 2021年度
    • (ウェブサイト運営者向けセキュリティ問い合わせ窓口設置の手引きなど)
  • 2020年度
    • (企業ウェブサイトのための脆弱性対応ガイド改訂版など)
  • 2019年度
    • (製品開発者向けガイド及び一般消費者向けガイドなど)
  • 2018年度
    • (法律面の調査報告書改訂など)
  • 2017年度
    • (IoT製品・サービス開発者のセキュリティ対策と意識の調査結果など)
  • 2016年度
    • (重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準など)
  • 2015年度
    • (新たな情報セキュリティ早期警戒パートナーシップの基本構想など)
  • 2014年度
    • (制御システム利用者のための脆弱性対応ガイドなど)
  • 2013年度
    • (グローバル化の課題と今後の方針 調査報告書など)
  • 2012年度
    • (企業ウェブサイトのための脆弱性対応ガイドなど)
  • 2011年度
    • (地方公共団体のための脆弱性対応ガイドなど)
  • 2010年度
    • (セキュリティ担当者のための脆弱性対応ガイドなど)
  • 2008年度
    • (ウェブサイト構築事業者のための脆弱性対応ガイドなど)
  • 2007年度
    • (ウェブサイト運営者のための脆弱性対応ガイドなど)
  • 2006年度
    • (ソフトウェア製品開発者による脆弱性対策情報の公表マニュアルなど)
  • 2005年度
    • (組込みソフトウェアのセキュリティ対策のポイント集など)
  • 2004年度
    • (運用実績を踏まえた問題点整理と今後の取組み)
  • 2003年度
    • (情報システム等の脆弱性情報の取扱いにおける法律面の調査など)

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2024年3月27日

    掲載