情報セキュリティ

脆弱性関連情報等取扱い方針

最終更新日:2019年5月30日

独立行政法人情報処理推進機構
セキュリティセンター

独立行政法人情報処理推進機構 セキュリティセンター(以下IPAセキュリティセンターという)は、届出受付業務での脆弱性関連情報、および脆弱性関連情報の取扱い状況に関する情報と、調整不能案件の公表が妥当であるか否かを判定する調整不能案件の公表判定業務で扱う情報を以下のとおり取扱います。

脆弱性関連情報の届出受付業務

1. 脆弱性関連情報等で扱う情報

  • (ア)脆弱性関連情報(脆弱性情報、検証方法、攻撃方法)
  • (イ)脆弱性の概要
  • (ウ)対策方法(回避方法、修正方法)
  • (エ)対応状況(脆弱性に関する対策の策定に要する期間や公表日時の情報等)
  • (オ)脆弱性情報の統計情報
  • (カ)脆弱性を有するウェブサイトに関する情報(ウェブサイトの名称を含む)

2. 脆弱性関連情報等を収集する目的および利用範囲

IPAセキュリティセンターは、ソフトウエア製品およびウェブサイトの脆弱性関連情報が一般に公開される前に製品開発者およびウェブサイト運営者に連絡して迅速な修正を促すことを目的として、経済産業省告示に基づき指定された業務の遂行に必要な脆弱性関連情報等を収集します。 IPAセキュリティセンターは製品開発者およびウェブサイト運営者への脆弱性関連情報の通知、脆弱性の分析、対応状況および定期的な統計情報の公表等のために、脆弱性関連情報等の一部もしくは全てを利用します。これら以外の目的には利用しません。

ソフトウエア製品の脆弱性関連情報等については、以下の関係者のみが利用可能です。

  • 発見者
  • IPAセキュリティセンター
  • JPCERT/CC
  • 製品開発者

ウェブサイトの脆弱性関連情報等については、以下の関係者のみが利用可能です。

  • 発見者
  • IPAセキュリティセンター
  • ウェブサイト運営者

3. 脆弱性関連情報等の第三者への開示

IPAセキュリティセンターは、脆弱性関連情報を製品開発者あるいはウェブサイト運営者の承諾がない場合には、第三者に開示しません。 ただし、秘密保持契約を結んだ上で、国立研究開発法人産業技術総合研究所や技術研究組合制御システムセキュリティセンター等の外部機関に分析を依頼するために開示することがあります。
また、すでに公表されていることが客観的に立証できる情報については開示することがあります。

なお、上記「(ア)脆弱性関連情報」のうち、検証方法、攻撃方法については、普及啓発のために、脆弱性の詳細が特定されない形式で開示することがあります。

「(イ)脆弱性の概要」、「(ウ)対策情報(回避方法、修正方法)」、「(エ)対応状況(脆弱性に関する対策の策定に要する期間や公表日時の情報等)」については、対策情報が公表された時点より、公開情報として取扱います。

「(オ)脆弱性情報の統計情報」については、公表した時点より公開情報として取扱います。

「(カ)脆弱性を有するウェブサイトに関する情報(ウェブサイトの名称を含む)」については、公表せず機密として取扱い、統計情報の作成のために用います。統計情報の作成のために使用する場合は個々のウェブサイトが特定されない形式で使用します。

4. 脆弱性関連情報等の管理

IPAセキュリティセンターは、その管理下にある脆弱性関連情報等の紛失、誤用、改変を防止するために、厳重なセキュリティ対策を実施します。 IPAセキュリティセンターにおいては担当職員以外による参照を禁じます。

脆弱性関連情報は、IPAセキュリティセンターが管理する区画の外に持ち出されることはありません。電子データについては、IPAセキュリティセンターの担当職員以外は参照できないような処置を講じます。FAX等の印刷物については施錠可能な収納庫に保管し利用記録等による管理を行います。

調整不能案件の公表判定業務

1.調整不能案件の公表判定業務で扱う情報

  • (ア)脆弱性関連情報(脆弱性情報、検証方法、攻撃方法)
  • (イ)脆弱性の概要
  • (ウ)対策方法(回避方法、修正方法)
  • (エ)対応状況(公表に至る経緯等)
  • (オ)検証結果情報(脆弱性分析結果、検証情報)
  • (カ)判定結果情報(判定の理由、判定の結果)
  • (キ)製品開発者からの情報(審査の手続きに対する意見、公表に対する製品開発者の見解等)

2.調整不能案件の公表判定業務で扱う情報を収集する目的および利用範囲

IPAセキュリティセンターは、調整不能案件となった脆弱性情報を公表するか否かを判定することを目的とし、調整不能案件の公表判定業務で扱う情報を収集します。IPAセキュリティセンターは、公表判定委員会の開催通知、公表判定委員会の判定結果通知、公表した旨の通知、取扱い終了の通知をするために利用します。これら以外の目的には利用しません。

調整不能案件の公表判定業務で扱う情報について、以下の関係者のみが利用可能です。

  • 発見者
  • IPAセキュリティセンター
  • 公表判定委員会
  • JPCERT/CC
  • 製品開発者
  • 製品開発者の代理人
  • 製品開発者の利害関係者
  • 経済産業省

3.調整不能案件の公表判定業務で扱う情報の第三者への開示

IPAセキュリティセンターは、調整不能案件の公表判定業務で扱う情報については、第三者にこれを開示しません。 ただし、秘密保持契約を結んだ上で、国立研究開発法人産業技術総合研究所や技術研究組合制御システムセキュリティセンター等の外部機関に開示することがあります。
また、すでに公表されていることが客観的に立証できる情報については分析を依頼するために開示することがあります。

なお、上記「(ア)脆弱性関連情報」のうち、検証方法、攻撃方法については、公表せず機密として取扱います。脆弱性情報については基本的に機密として取扱いますが、普及啓発のために、脆弱性の詳細が特定されない形式で開示することがあります。

「(イ)脆弱性の概要」、「(ウ)対策情報(回避方法、修正方法)」、「(エ)対応状況(公表に至る経緯等)」、「(オ)検証結果情報(脆弱性分析結果、検証情報)」については、ポータルサイト(JVN)に公表した時点より、公開情報として取扱います。

「(カ)判定結果情報(判定の理由、判定の結果)」については、公表せず機密として取扱います。

「(キ)製品開発者からの情報」のうち、審査の手続きに対する意見については、公表せず機密として取扱います。

「(キ)製品開発者からの情報」のうち、公表に対する製品開発者の見解については、ポータルサイト(JVN)に公表した時点より、公開情報として取扱います。

4.調整不能案件の公表判定業務で扱う情報の管理

IPAセキュリティセンターは、その管理下にある調整不能案件の公表判定業務で扱う情報の紛失、誤用、改変を防止するために、厳重なセキュリティ対策を実施します。 IPAセキュリティセンターにおいては調整不能案件の公表判定業務の作業担当者(公表判定委員会の委員を含む)以外による参照を禁じます。

調整不能案件の公表判定業務で扱う情報は、IPAセキュリティセンターが管理する区画の外に持ち出されることはありません。電子データについては、IPAセキュリティセンターの調整不能案件の公表判定業務の担当職員(公表判定委員会の委員を含む)以外は参照できないような処置を講じます。FAX等の印刷物については施錠可能な収納庫に保管し利用記録等による管理を行います。

IPAセキュリティセンターの脆弱性情報等管理責任者

  • 情報処理推進機構(IPA)セキュリティセンター センター長
  • 〒113-6591 東京都文京区本駒込2-28-8

お問い合わせ先

独立行政法人情報処理推進機構
セキュリティセンター

  • E-mail

    vuln-inqアットマークipa.go.jp

更新履歴

  • 2004年7月8日

    掲載

  • 2005年4月1日

    脆弱性情報等管理責任者を変更

  • 2005年5月31日

    ウェブサイトに関する情報の取扱い方針、体裁を変更

  • 2015年7月23日

    連絡不能案件の公表判定業務における脆弱性関連情報の取扱いについて追記

  • 2017年5月30日

    調整不能案件の公表に伴う記載変更

  • 2019年5月30日

    記載内容の一部修正