情報セキュリティ

調整不能案件の公表判定業務における取扱いプロセス

最終更新日:2023年12月13日

独立行政法人情報処理推進機構
セキュリティセンター

調整不能案件の公表判定業務における取扱いプロセス

2004年7月8日から経済産業省の告示に基づき、独立行政法人情報処理推進機構(IPA)は脆弱性関連情報の届出の受付、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行ってきました。

この中で、製品開発者との間で、ソフトウエア製品の脆弱性情報について製品開発者への連絡及び公表に係る調整が不可能であると判断した届出(以降「調整不能案件」)があります。この様な調整不能案件に対して、何らかの調整を行わないと、脆弱性が存在する状態が継続されてしまうこと、もしくは、脆弱性情報が公表されない事により脆弱性があるソフトウエア製品を継続して利用し、製品利用者が被害に遭う可能性がある状況です。
この状況を受け、製品利用者の脆弱性による被害を受ける可能性を低減するためには、脆弱性情報を知り得ること、および、知り得た情報により対策を実施するための判断をする機会を得るための情報を提供する必要があります。このため、IPAは調整不能案件の脆弱性情報を公表するか否かを判定する公表判定運用を行い、判定の結果により脆弱性情報を公表します。

  • 2014年5月14日 経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」により、IPAが公表判定機関に指定されました。また、告示に則り策定したガイドラインに基づき、連絡不能案件の公表判定の運用を開始しました。

  • 2017年5月30日 告示に則り策定したガイドラインに基づき、調整不能案件に対する公表判定の運用を開始しました。

調整不能案件の取扱いプロセス

調整不能案件の取扱いにおいては、脆弱性情報を公表しない場合に製品利用者等が受けうる被害と、公表した場合に製品開発者、製品利用者等が被りうる不利益が生じ得ます。このバランスに配慮するとともに、社会的背景も思料し、不利益を被りうる関係者が意見を表明することも可能な、透明性・妥当性のある処理プロセスを整備しました。

  • 「調整不能案件の取扱いプロセス」のフローを説明する図
1.届出の受付

発見者からのソフトウエア製品の脆弱性関連情報の届出を受付けます。
以降、受付した順序に関わらず、届出された脆弱性による影響が大きい案件を優先して取扱います。

2.届出の受理/不受理の決定

記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を通知します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。

3.JPCERT/CCへの脆弱性関連情報の連絡

IPAは、脆弱性関連情報を JPCERT/CCに通知します。

4.製品開発者へ連絡

JPCERT/CCは、脆弱性関連情報を通知し対策を促すため、製品開発者の連絡先を調査し連絡を試みます。
製品開発者に連絡が取れない場合は、連絡不能開発者一覧に公表し、製品開発者からの連絡を呼びかけます。
脆弱性による影響が小さい脆弱性の場合、製品開発者に連絡することで取扱いを終了することがあります。

5.起算日の連絡

JPCERT/CCは製品開発者への連絡を開始した旨(起算日)、および、製品開発者へ詳細情報を通知した場合は、詳細情報通知日をIPAへ通知します。IPAは起算日を発見者へ通知します。

6.調整不能とIPAへ連絡

JPCERT/CCは、連絡不能開発者一覧に公表後も製品開発者と連絡がとれない場合や、その他の理由で製品開発者と脆弱性情報の公表(参照:7、11)に係る調整が不可能である場合に、その旨をIPAへ通知します。

7.調整不能と判断

IPAは、JPCERT/CCと製品開発者との間で脆弱性情報の公表に係る合意に至ることが社会通念上困難になったと判断される場合、その案件が脆弱性情報を公表する条件を満たしているかを判定する「公表判定委員会」を組織します。

8.公表判定委員会の開催
  • (1) 判定に必要な情報の収集・整理
    IPAは、判定に必要な情報を収集・整理した判定資料を組織した公表判定委員会へ提供します。
  • (2) 開催連絡と意見聴取
    公表判定委員会は、製品開発者に対して脆弱性情報を公表すべきかどうか判定する旨を連絡します。また、製品開発者をはじめとする関係者に対して意見聴取を行います(製品開発者の連絡先が不明な場合、連絡不能開発者一覧への公表をもって実施したと看做します)。
  • (3) 公表判定
    判定資料および製品開発者をはじめとする関係者の意見に基づき、判定条件を満たしている場合に公表が適当であると判定します。
9.結果の通知

IPAは、公表判定委員会が行った判定に基づき、公表するかどうかの判断を行い、その結果と理由をJPCERT/CCと製品開発者へ通知します。

  • 公表すると判定した場合
    IPAは、告示の定める手続きに適合していることを経済産業大臣に確認した上で(連絡不能案件の場合を除く)、公表日を決定します。
  • 公表しないと判定した場合
    IPAは、判定結果と理由を発見者へ通知した上で、取扱いを終了します。
  • 調整可能であると判定された場合
    IPAは、JPCERT/CCに製品開発者との調整を再度行うように通知します。
10. 併記する見解の聴取

IPAは、公表する内容について製品開発者から併記を希望する見解を聴取します(連絡不能案件の場合を除く)。

11. 脆弱性情報の公表

IPA、JPCERT/CCは、公表が適当であると判定した調整不能案件について、製品開発者名とともに脆弱性情報をポータルサイト(JVN)にて公表します。なお、製品開発者から併記を希望する見解が提出された場合は併記します。公表した際は、その旨を発見者へ通知します。

公表判定委員会とは

公表判定委員会は、IPAにより組織され、法律、サイバーセキュリティ、当該ソフトウエア製品分野の専門家などの専門的な知識経験を有する者を委員として指名し、委員長、委員、事務局から構成されます。また、公表判定の際には、中立性を考慮し、当該調整不能案件に利害関係のない委員で判定を行います。
公表判定委員会は、関係者に意見表明の機会を提供し、その意見を踏まえ、公表が適当か否か(公表する条件を満たしているか否か)を判定します。

公表判定委員会名簿

新 誠一
所属

電気通信大学

専門分野

制御システム

高木 浩光
所属

国立研究開発法人産業技術総合研究所

専門分野

サイバーセキュリティ

高田 広章
所属

名古屋大学

専門分野

組込みシステム

高橋 郁夫
所属

駒沢綜合法律事務所

専門分野

法律

土居 範久
所属

慶応義塾大学

専門分野

サイバーセキュリティ

町村 泰貴
所属

成城大学

専門分野

法律

(五十音順、敬称略)

判定条件

下記の全ての状況を満たす場合、公表することが適当と判断します。それ以外は、公表しないことと判定します。

  1. 調整機関と製品開発者との間の脆弱性情報の公表に係る調整が不可能であること

  2. 脆弱性の存在が認められること
    ソフトウエア製品の脆弱性とは、ソフトウエア製品等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。ソフトウエア製品において、情報セキュリティの三大要素(機密性、完全性、可用性)の1つ以上が侵害される可能性があり、その原因となる問題挙動をIPAまたはJPCERT/CCが具体的に例示可能であり、製品開発者が反証できないとき、脆弱性の存在が認められると判断します。なお、判断においては、一般的なソフトウエア製品の利用方法や、製品開発者があらかじめ提示している使用条件等を考慮します。

  3. IPAが公表しない限り、脆弱性情報を知り得ない製品利用者がいるおそれがあること
    製品開発者が当該ソフトウエア製品の製品利用者全員に確実に通知することが困難な場合を対象とします。たとえば、ソフトウエア製品が市販されている場合や、ホームページ等でダウンロード可能である場合はこれに該当します。

  4. 製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
    製品開発者の取組みや製品利用者の状況を鑑みて、公表することが適当ではないと判断する明確な理由・事情がある場合には、公表を行いません。

更新履歴

  • 2023年12月13日

    「公表判定委員会名簿」を更新

  • 2019年5月30日

    記載内容の一部修正

  • 2017年5月30日

    調整不能案件の公表判定業務における取扱いプロセスを更新

  • 2015年7月23日

    連絡不能案件の公表判定業務における取扱いプロセスを掲載