ソフトウエア製品開発者による脆弱性関連情報届出様式の記入の手引き
2016年 4月14日

                                         独立行政法人情報処理推進機構
                                         技術本部 セキュリティセンター

======================================================================

1. 届出様式について
  1.1 届出様式を使用する目的
  1.2 届出様式の入手方法
  1.3 電子メールの件名

2. 届出様式に記入する際の注意事項とお願い

3. 脆弱性関連情報の届出の記入例について

4. 届出様式の各項目について

======================================================================


1. 届出様式について

  1.1 届出様式を使用する目的

    独立行政法人情報処理推進機構（IPA）では、脆弱性関連情報の届出に際
  し、できる限り正確な情報を届出いただき、迅速に対応するために、届出様
  式への記入による届出をお願いしています。

  1.2 届出様式の入手方法

    届出様式は、以下の URL をご覧の上、ご利用ください。

    ソフトウエア製品開発者による脆弱性関連情報届出様式：  
    https://www.ipa.go.jp/security/vuln/report/form_vendor.txt

  1.3 電子メールの件名

    届出をする際の、電子メールの件名は以下を記入してください。
    ソフトウエア製品開発者による脆弱性関連情報の届出


2. 届出様式に記入する際の注意事項とお願い

  届出様式に記入する際には以下の点にご注意ください。

  - 各項目には記入できる範囲で記入してください。記入する内容が特定できな
    い場合や、記入することがない場合はその旨を記入してください。（不明
    な点がある場合、IPA から内容の確認をさせていただくことがあります。）

  - IPA へのご要望がある場合には、その内容を明確に記入してください。


3. 脆弱性関連情報の届出の記入例について

  脆弱性関連情報の届出の記入例を、以下の URL にて公開しています。記入
の際の参考としてご覧ください。

    ソフトウエア製品開発者による脆弱性関連情報届出様式の記入例
    https://www.ipa.go.jp/security/vuln/report/sample_vendor.txt


4. 届出様式の各項目について

----------------------------------------------------------------------

[1. 届出者情報] の記入について

  1) 届出者情報
  届出いただいた脆弱性関連情報の公開について、ご連絡させていただきます。
そのため、必ず連絡が取れる連絡先を記入してください。


[2. JVN で公表する情報について] の記入について

  1) タイトル
    どのような脆弱性かを簡潔に記入してください。


  2) 脆弱性の概要
    どのソフトウエアにどのような脆弱性が存在するかという事を簡潔に記入
  してください。


  3) 影響を受けるシステム
    脆弱性が存在することを確認したソフトウエア等に関する情報を、できる
  限り詳細に記入してください。また、脆弱性を確認した環境が、特に設定を
  変更している環境である場合には、設定の詳細について記入してください。


  4) 詳細情報
    脆弱性の原因や問題箇所などを含めた脆弱性の説明を、できる限り詳細
  に記入してください。


  5) 想定される影響 
    この脆弱性によりどのような脅威が発生しうるかを記入してください。
  また、この脆弱性が実際に悪用されてしまうと、どのような影響が出ること
  が予想されるかを記入してください。


  6) 対策方法
     6-1) 対策
     □ パッチ      □ バージョンアップ      □ その他
     補足説明（新たなバージョン番号や、その他の際の方法など）

    この脆弱性に対してどのような対応をする予定かを記入してください。


     6-2) 回避策
     □ あり        □ なし
     補足説明（ありの際の方法など）

    6-1) の対策が適用できない場合に、設定の変更など、この脆弱性を悪用
  されないようにするための方法があれば、記入してください。


     ※ 上記 1) ～ 6) は、JVN（以下 URL） を参考に記入してください。
        https://jvn.jp/jp/index.html

     ※ なお JVN で公表する情報は、既に公開済みの情報との整合性を考慮し、
        修正する可能性がありますので、予めご了承ください。

  7) 対策情報の公開予定日時

     ※ 届出をいただいてから JVN での公開までは時間がかかる場合があります。
        1 週間程度の余裕を持って、公開予定日時を設定してください。

      この脆弱性を公開する予定の日時を記入してください。この日時をもとに
    JPCERT/CC より JVN の公開日時をご相談させていただきます。


  8) その他
    上記のほか、この脆弱性に関する事項がある際には記入してください。


[3. 今後の連絡について] の記入について

  1) IPA からの連絡における暗号化
     □ 希望する        □ 希望しない

  2) JPCERT/CC からの連絡における暗号化
     □ 希望する        □ 希望しない

     ※IPA もしくは JPCERT/CC から連絡における暗号化を希望する場合は、
       公開鍵を添付してください。

      IPA や JPCERT/CC から連絡をする場合に、暗号化を希望するかどうかを
      選択してください。暗号化を希望する場合には、PGP 公開鍵を添付して
      送付してください。


[4. その他] の記入について
  上記のほか、IPA や JPCERT/CC に特に伝えておきたい事項があれば記入し
てください。

----------------------------------------------------------------------

_________

改訂履歴
2007年 6月 1日	届出様式の変更に伴い、修正
2014年 4月14日	表記の揺れを修正、説明を追記