情報セキュリティ

脆弱性関連情報の届出受付業務における取扱いプロセス

最終更新日:2017年5月30日

独立行政法人情報処理推進機構
セキュリティセンター

脆弱性関連情報の届出受付業務の取扱いプロセス

2004年7月8日から経済産業省の告示に基づき、独立行政法人情報処理推進機構(IPA)は脆弱性関連情報の届出の受付、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は、ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行ってきました。
IPA は、届出受付機関として届出された脆弱性関連情報を下記のとおり取扱います。

ソフトウエア製品の取扱いプロセス

1.届出の受付

発見者からの届出を受付ます。
以降、受付した順序に関わらず、届出された脆弱性による影響が大きい案件を優先して取扱います。

2.届出の受理/不受理の決定

記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。

3.JPCERT/CC への脆弱性関連情報の連絡

IPAは、脆弱性関連情報をJPCERT/CC に連絡します。

4.製品開発者へ連絡

JPCERT/CCは、製品開発者の連絡先を調査し、製品開発者へ脆弱性関連情報を連絡します。
製品開発者に連絡が取れない場合は、連絡不能開発者一覧に公表し、製品開発者からの連絡を呼びかけます。
脆弱性による影響が小さい脆弱性の場合、製品開発者に連絡することで取扱いを終了することがあります。

5.起算日の連絡

JPCERT/CC は製品開発者への連絡を開始した旨(起算日)、および、製品開発者へ詳細情報を連絡した旨をIPAへ連絡します。IPAは起算日、および、詳細情報連絡日を発見者へ連絡します。

6.製品開発者による対応

JPCERT/CCは、製品開発者に対して脆弱性関連情報に係る以下の対応を依頼します。

  1. 連絡窓口の設置
  2. JPCERT/CCへ脆弱性検証結果の報告、脆弱性評価、影響を鑑みた一般公表までのスケジュールの作成
  3. 対策方法の作成
  4. JPCERT/CCへ対応状況の報告
7. 対応状況の受付

JPCERT/CCは、製品開発者の対応状況をIPAと共有します。また、発見者は、IPAへ進捗状況の問い合わせを行なう事ができます。

8.公表日の調整

JPCERT/CCは製品開発者と脆弱性関連情報に係る公表日を調整します。
場合によっては、国民の生活に必要不可欠なサービスを提供する重要社会基盤保有事業者等に優先的に情報提供します。

9. 対応状況(対策方法)の公表

IPA、JPCERT/CCは、脆弱性関連情報に係る対応状況(対策方法)をポータルサイト(JVN)にて公表します。また、公表した際は、その旨を発見者へ連絡します。

10. 統計情報の公表

IPA、JPCERT/CCは、脆弱性に係る実態の周知徹底、被害の予防のため、脆弱性関連情報に係る統計情報を公表します。

ウェブアプリケーションの取扱いプロセス 

1. 届出の受付

発見者からの届出を受付ます。
以降、受付した順序に関わらず、届出された脆弱性による影響が大きい案件を優先して取扱います。

2.届出の受理/不受理の決定

記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。

3.ウェブサイト運営者への連絡

ウェブサイト運営者の連絡先を調査し、脆弱性関連情報を連絡します。連絡先が見つからない場合や、返信がない場合などは、取扱いを終了することがあります。
影響が小さい脆弱性の場合、ウェブサイト運営者に連絡することで取扱いを終了することがあります。

4.取扱い開始連絡

発見者へ、ウェブサイト運営者に脆弱性関連情報を連絡した旨(取扱い開始連絡)を連絡します。

5.ウェブサイト運営者による対応

ウェブサイト運営者に対して脆弱性関連情報に係る以下の対応を依頼します。

  1. 窓口の設置および脆弱性関連情報の受領連絡
  2. IPAへ脆弱性関連情報に係る脆弱性検証結果の報告
  3. IPAへ対応状況の報告
  4. 脆弱性評価、影響を鑑みた修正の実施
  5. 個人情報漏洩などの可能性がある場合は、二次被害の防止のため事実関係を公表
6.修正完了の連絡

ウェブサイト運営者から脆弱性関連情報に係る修正完了の報告を受領した場合、その旨を発見者に連絡します。

7.統計情報の公表

IPAは、脆弱性に係る実態の周知徹底、被害の予防のため、脆弱性関連情報の届出受付業務に係る統計情報を公表します。その際、届出のウェブサイトが判別可能な情報は公表しません。

自社製品の取扱いプロセス

1. 届出の受付

製品開発者からの届出を受付ます。

2.届出の受理/不受理の決定

記入項目に不備がないか、脆弱性であるか否か等を確認し、製品開発者へ受理/不受理とした旨を連絡します。届出内容に不明な点がある場合は、製品開発者へ確認を行うことがあります。

3.JPCERT/CC への脆弱性関連情報の連絡

IPAは、脆弱性関連情報をJPCERT/CC に連絡します。

4.製品開発者へ連絡

JPCERT/CCは、届出に記載された製品開発者の連絡先へ連絡を行います。

5. 製品開発者による対応

JPCERT/CCは、製品開発者に対して脆弱性関連情報に係る以下の対応を依頼します。

  1. 連絡窓口の設置
  2. 対策方法の作成
6.公表日の調整

JPCERT/CCは製品開発者と脆弱性関連情報に係る公表日を調整します。

7.対応状況(対策方法)の公表

IPA、JPCERT/CCは、脆弱性関連情報に係る対応状況(対策方法)をポータルサイト(JVN)にて公表します。

8.統計情報の公表

IPA、JPCERT/CCは、脆弱性に係る実態の周知徹底、被害の予防のため、脆弱性関連情報の届出受付業務に係る統計情報を公表します。

更新履歴

  • 2004年7月8日

    「脆弱性関連情報の取扱いプロセス」を掲載

  • 2015年7月23日

    ソフトウェア製品、ウェブアプリケーションの取扱いプロセスを改訂、自社製品の取扱いプロセスを追加

  • 2017年5月30日

    ソフトウェア製品、ウェブアプリケーションの取扱いプロセスを改訂