HOME情報セキュリティ情報セキュリティ対策脆弱性対策「情報セキュリティ早期警戒パートナーシップガイドライン-2017年版」の改訂に伴う運用変更について

本文を印刷する

情報セキュリティ

「情報セキュリティ早期警戒パートナーシップガイドライン-2017年版」の改訂に伴う運用変更について

最終更新日:2017年5月30日
独立行政法人情報処理推進機構
技術本部セキュリティセンター

2017年5月30日、「情報セキュリティ早期警戒パートナーシップガイドライン」の2017年版を公開しました。
今回のガイドラインの改訂では、パートナーシップの役割の見直しおよび、役割の強化を行い、下記の通り運用が変更となりました。関係者の皆様に、ご理解とご協力をお願い致します。

パートナーシップの見直しについて役割の見直しに伴う運用変更について役割の強化に伴う運用変更について参考情報本件に関するお問い合わせ先

パートナーシップの見直しについて

製品開発者やウェブサイト運営者における脆弱性対処に関する意識の変化や、社会環境の変化により脆弱性対応の遅れが被害に直結するリスクが高まっていることを踏まえ、下記の通りパートナーシップの役割の見直しおよび、役割の強化を行ないました。

■パートナーシップの役割の見直し

  1. 影響が大きい案件を優先
    パートナーシップの社会的役割を明確化するため、影響の大きい案件を優先して取り扱う方向にシフトする。この評価のため、「影響度」という評価軸を設定する。
  2. 発見者と製品開発者/ウェブサイト運営者の直接調整を選択肢の一つとして提示
    IPAへ届出する以外にも、社外からの連絡窓口を設置し、発見者から直接の届出を受け入れる製品開発者、ウェブサイト運営者の場合、直接届出することも可能とする。
  3. 自律的な進展が難しい場合のパートナーシップの対応
    発見者と製品開発者およびウェブサイト運営者における調整の自律的な進展が難しい場合に、その状況の打開を担う。


■パートナーシップの役割の強化

重要社会基盤事業者への優先情報提供
「サイバーセキュリティ基本法」(平成26年法律第104号)を鑑み、パートナーシップは「我が国の安全に重大な影響を及ぼすおそれがあるもの」に対して、これまで以上に強い姿勢で協力を促すモデルへとシフトし、社会的リスクを低減すべきであり、そのために、パートナーシップは重要インフラ保護にも貢献する。

役割の見直しに伴う運用変更について

パートナーシップの役割の見直しに伴い、社会への影響が大きい脆弱性情報を円滑に流通させ、迅速な対策促進を実現するために、以下の運用を変更しました。

届出の取扱い順序の変更

パートナーシップでは、脆弱性による影響の大きい脆弱性を迅速に取扱いできていない課題がありました。
脆弱性による影響の大きい届出を迅速に取扱うため、IPAおよびJPCERT/CCにおける届出の取扱い順序について、以下のとおり運用を変更しました。
これまでの運用 変更後の運用 期待する効果
一律、届出を受付した順序等で取扱う 受付の順序に関わらず、届出された脆弱性による影響が大きい場合は優先的に取扱う
  • 社会への影響が大きい脆弱性の迅速な対策促進
  • 脆弱性による社会的被害の低減

脆弱性の深刻度: 脆弱性の深刻度として、CVSSv3基本値スコアを適用する。
脆弱性の影響範囲: 以下の要素を勘案して選択する。1~3がすべて不明の場合は「広」と判断する。
 1 利用者数
 2 社会的影響力
 3 攻撃の容易性
    関係者へのお願い
    発見者様におかれましては、届出頂いた脆弱性による影響が小さい場合、IPAおよびJPCERT/CCにおける取扱いに時間が掛かる場合があることを予めご理解頂きたくお願い致します。

届出様式の変更

パートナーシップでは、IPAにおける届出内容の確認や脆弱性判断に時間を要するために、製品開発者やウェブサイト運営者へ迅速に届出情報を通知できないという課題がありました。
円滑な取扱いのため、以下の通り届出様式を変更しました。
変更箇所 これまでの運用 変更後の運用 期待する効果
ガイドラインの適用範囲であることへの確認 記載項目なし パートナーシップの適用範囲であることを確認してください
  • 関係者による脆弱性情報の把握を円滑にする
  • 関係者間の脆弱性対策に関わる調整を円滑にする
脆弱性が再現した証拠 明示的な記載項目なし
  • 脆弱性を再現したことが確認できる画面キャプチャ、ログファイルなどを添付してください
  • 証拠の取得に際しては、関連法令に触れることがないように留意してください
IPAと製品開発者の両方に届出した場合 届出先等の情報を記載
  • IPAへ製品開発者との調整を依頼するか、発見者自身で製品開発者と調整を実施するか発見者の意向を選択してください
  • IPAに調整を依頼する場合、製品開発者、もしくは、ウェブサイト運営者へその旨を通知してください
ソフトウエア製品情報 名称やバージョンなど記載 新たに下記についても記載してください
  • 脆弱性の確認日
  • 製品開発者名
  • 製品開発者のウェブサイトURL
  • 製品ダウンロードサイトまたは、ソフトウエア製品の情報URL
  • 製品開発者の連絡先メールアドレス
  • 製品開発者の住所、電話番号
    関係者へのお願い
    発見者様にはお手数をお掛けしますが、ご理解とご協力をお願い致します。

取扱終了条件の変更

パートナーシップでは、届出件数の増大に伴い、全ての届出に対して一律の対応が難しい課題がありました。
影響が大きい届出の取扱いを優先して取扱いをするため、届出の取扱い終了条件を以下のとおり変更しました。
これまでの運用 変更後の運用 期待する効果
ソフトウェア製品 脆弱性による影響度に関わらず、製品開発者へ届出情報を通知後、以下の場合に取扱いを終了する
  • 脆弱性ではない場合
  • 本ガイドラインの適用範囲外である場合
  • 脆弱性関連情報が既知の場合
  • 製品開発者がすべての製品利用者に通知する場合(システム構築事業者を介して通知するケースを含む)
これまでの運用に加え、以下の場合に取扱いを終了する
  • 脆弱性による影響が小さい場合、製品開発者へ届出情報の通知を以って取扱い終了
  • 製品開発者のウェブサイト等で脆弱性対策情報が公表された場合、JVN公表せずに取扱い終了
パートナーシップの社会的役割をより効果的に果たす
ウェブアプリケーション ウェブサイト運営者へ届出情報を通知後、以下の場合に取扱いを終了する
  • 脆弱性ではない場合
  • 本ガイドラインの適用範囲外である場合
  • ウェブサイト運営者から脆弱性関連情報が既知であり、その脆弱性が修正されていると連絡があった場合
  • ウェブサイトの不適切な運用のうち、IPAが注意喚起等の方法で広く対策を促した後、取扱いを取りやめる判断をした場合
  • ウェブサイト運営者から適切な応答が得られない場合
  • ウェブサイト運営者から脆弱性による影響度が低い等の理由により対応を行わないと連絡があった場合
これまでの運用に加え、以下の場合に取扱いを終了する
  • ウェブサイト運営者による応答の有無に関わらず、脆弱性による影響が小さい場合、ウェブサイト運営者へ届出情報の通知を以って取扱い終了
    関係者へのお願い
    脆弱性による影響が小さい場合、パートナーシップにおける取扱いは終了しますが、パートナーシップにおいて脆弱性ではない・影響がないと判断したわけではありません。製品開発者様、ウェブサイト運営者様におかれましては、攻撃が発生した場合の経営リスク等を鑑みた上で、対応方針をご検討ください。

役割の強化に伴う運用変更について

優先情報提供を受ける重要社会基盤事業者の条件変更

パートナーシップでは、JPCERT/CCは、届出がなされた脆弱性関連情報に関して、国民の日常生活に必要不可欠なサービスを提供するための基盤となる設備に対し特に影響が大きいと推察される場合、IPAおよび製品開発者と協議の上、対策方法が作成されてから一般公表日までの間に、脆弱性情報と対策方法を、政府機関や当該基盤保有事業者等に対して優先的に提供することができます。この取扱いを広く普及推進するために、改めて取扱いの条件を見直し、整備しました。今後は以下の条件に基づいて取扱いを実施します。

優先情報提供を受ける条件 期待する効果
優先的な情報提供を受ける基盤保有事業者は、以下の条件をすべて満たす必要がある
  • 情報を提供された当該事業者の中で秘密情報管理を徹底すること
  • 事業者自身の委託先(システム構築事業者、セキュリティベンダ等)各社において、秘密情報管理を徹底すること
  • JPCERT/CCから優先的に提供される情報は当該基盤を防護する目的に対してのみ利用することを徹底すること
脆弱性による国民の日常生活に必要不可欠なサービスへの被害を低減
    関係者へのお願い
    製品開発者様におかれましては、一般公表前に脆弱性対策情報を政府機関および、当該基盤保有事業者等へ優先的に提供することへのご理解ご協力をお願い致します。

参考情報

本件に関するお問い合わせ先

IPA 技術本部セキュリティセンター
E-mail:vuln-ing@アイピーエー.go.jp

更新履歴

・2017年5月30日 公開