情報セキュリティ

脆弱性関連情報の届出受付

脆弱性関連情報の届出受付とは

脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004 年7月8日から経済産業省の告示に基づき策定された情報セキュリティ早期警戒パートナーシップガイドライン(PDF:1.0MB)に則り運用しています。

経済産業省の告示にて、下記の通り指定されています。

脆弱性関連情報の届出の受付機関

独立行政法人情報処理推進機構(IPA)

脆弱性関連情報に関して製品開発者への連絡および公表に係る調整機関

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)

留意事項

脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。

  • 発見者に対する、脆弱性関連情報の秘匿の強制
  • 製品開発者に対する、脆弱性への対策の強制
  • ウェブサイト運営者に対する、脆弱性の修正の強制

下記リンクより届出が可能です。

届出の対象

IPAでは、以下の脆弱性関連情報の届出を受付けています。

(1) ソフトウエア製品脆弱性関連情報

日本国内で利用されているOS、ブラウザ、メーラ等のクライアント上のソフトウエア、DBMS、ウェブサーバ等のサーバ上のソフトウエア、プリンタ、ICカード、PDA、コピー機等のソフトウエアを組み込んだハードウエア、制御システム用製品等に脆弱性を発見した場合に届け出てください。特に、複数の製品開発者の製品に影響する可能性がある脆弱性関連情報については、受け取れない製品開発者が出ないように、IPAへ届出を行うことが望まれます。なお、「暗号アルゴリズム」や「プロトコル」を実装しているものも含みますが、一般的な「暗号アルゴリズム」や「プロトコル」等の仕様そのものの脆弱性は含みません。

(2) ウェブアプリケーション脆弱性関連情報

主に日本国内からのアクセスが想定されているインターネット上のウェブサイト等で稼動する固有のシステムに脆弱性を発見した場合に届け出てください。

脆弱性とは

脆弱性とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所です。コンピュータ不正アクセスやコンピュータウイルス等により、この問題の箇所が攻撃されることで、そのソフトウエア製品やウェブアプリケーションの本来の機能や性能を損なう原因となり得るものをいいます。
また、個人情報等が適切なアクセス制御の下に管理されていないなど、ウェブサイト運営者の不適切な運用により、ウェブアプリケーションのセキュリティが維持できなくなっている状態も含みます。

届出の取扱い方法

IPA は、届出を受けた脆弱性関連情報を、以下の告示、ガイドライン、取扱い方針等に従い取扱います。

告示

2004年に経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定され、2014年の改正を経て、2017年に新たに経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」になりました。

ガイドライン

  • 情報セキュリティ早期警戒パートナーシップガイドライン -2019年版第2刷-(PDF:1.0MB)
    告示を踏まえ、関係業界と協調して国内におけるソフトウエア等の脆弱性関連情報を適切に取扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しました。関係者(発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者)に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者およびウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
    注釈:2022年5月31日公開の第2刷では、リンク切れ及び一般社団法人ソフトウェア協会の組織名変更に対応する修正を行っています。

  • 情報セキュリティ早期警戒パートナーシップの紹介 - 脆弱性取扱プロセスの要点解説 -(PDF:450KB)
    関係者の方(発見者、製品開発者、ウェブサイト運営者)にご理解頂きたい告示・ガイドラインの要点を纏めたものです。

取り扱い方針

届出先

届出の際には、以下の 2つの方法のどちらかをご利用ください。

なお、IPAへ届出する以外にも、社外からの連絡窓口を設置し、発見者から直接の届出を受け入れる製品開発者、ウェブサイト運営者の場合、直接届け出ることも可能です。発見者と製品開発者もしくはウェブサイト運営者との調整が難航した場合には、IPAに連絡をしてください。IPAから、製品開発者もしくはウェブサイト運営者へ連絡し、調整を実施します。

(1) 電子メール

下記の届出様式に則り必要事項を記入の上、メールでご連絡ください。IPAでは PGP公開鍵による暗号化を推奨しています。ただし、暗号化は必須ではありません。

電子メールアドレス

vuln-infoアットマークipa.go.jp

電子メールの件名

記入の手引きに記載している内容を記入してください。

PGP暗号鍵

届出の際には、以下の届出様式をご利用ください。

ソフトウエア製品脆弱性関連情報

説明

上記「届出の対象」の(1)

届出様式
記入例
記入の手引き

ウェブアプリケーション脆弱性関連情報

説明

上記「届出の対象」の(2)

届出様式
記入例
記入の手引き

自社製品に関する脆弱性関連情報

(2) ウェブ届出フォーム

ウェブ届出フォームの案内に従い、必要事項を記入してください。

参考情報

製品開発者向け

ウェブサイト運営者向け

利用者向け

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

情報システム等の脆弱性情報の取扱いに関する研究会 配布資料

脆弱性関連情報の届出状況(統計情報)

脆弱性対策情報データベースJVN iPediaの登録状況(統計情報)

お問い合わせ先

よくある質問に対する回答をFAQに掲載しています。

FAQに回答がない場合は、以下までお問い合わせください。

  • E-mail

    vuln-inqアットマークipa.go.jp

注釈:届出に関する質問の窓口です。届出については、脆弱性関連情報の届出先までお願いします。

更新履歴