官民ボード 成果物一覧 >> 脆弱性情報を適切に共有するために

脆弱性関連情報の届出制度

  • セキュリティの弱いウェブサイトや、ソフトウェア製品を見つけてしまった場合、あなたならどうしますか?
  • このような情報は、修正が行われないうちに悪者に渡ると悪用されてしまう危険性があるものです。
  • 例えば「利用者が安全であるように」とブログなどインターネット上に情報を公開してしまう事などは、悪者にとって格好の攻撃材料となりかねません。
  • 従ってこのような情報は、第三者には伝わらぬよう適切に関係者に提供し、すみやかに対応を取ってもらう必要があります。
  • ここのページでは、このような情報を適切に共有(流通)させる取り組みを紹介すると共に、利用をお願いするものです。

目次 Contents

[脆弱性(ぜいじゃくせい)とは] 脆弱性について説明します
[脆弱性関連情報の届出制度とは] 脆弱性情報を適切に流通させるための制度について説明します
[届出制度の活用方法について] どのような時に届出制度を活用するのか説明します
[届出によるメリット] 届出制度を活用すると、どう良いのか説明します
[発見者が気をつけること] 脆弱性発見者への法的な論点について説明します

脆弱性(ぜいじゃくせい)とは

脆弱性とは、ソフトウェア製品やウェブサイトの機能や性能を損なう原因となるセキュリティ上の問題個所です。

ウイルスや不正アクセスなどの攻撃により脆弱性が悪用されると、個人情報が漏えいしたりデータが改ざんされ、それにより重大な被害に繋がることがあります。

脆弱性がソフトウェア製品やウェブサイトに存在した際には、その脆弱性の情報を関係者以外には知られぬよう適切に管理のうえ関係者に情報を送り、速やかに対策を施さなければなりません。

例えば、以下のケースも脆弱性の可能性があります。

・ウェブを参照し、上のページに移動したら、個人情報らしいものが見えてしまった。

・会員制 HP において、自分の個人情報を変更しようとしたところ、他人の情報が現れた。

脆弱性関連情報の届出制度とは

この届出制度は、脆弱性情報を適切に流通させ、脆弱性の修正を促すための制度です。

脆弱性を発見した場合、まずは IPA(*1) に届け出をして下さい。IPA や JPCERT/CC(*2) が脆弱性の修正に向け、ウェブサイト運営者やソフトウェア開発者と調整を行います。

本制度は、経済産業省の告示「ソフトウエア等脆弱性関連情報取扱基準」(*4)のもと、脆弱性関連情報の届出の受付機関として IPA が、製品開発者への連絡及び公表に係る調整機関として JPCERT/CC が制度を運営しています。

官民連携したソフトウエア等の脆弱性関連情報流通の枠組み「情報セキュリティ早期警戒パートナーシップ」の円滑な運用を促進し、高信頼性社会の実現をめざします。

※ AIST(*3)

届出制度の活用方法について

 
IPAでは、情報セキュリティ早期警戒パートナーシップガイドライン(*5)に基づき、ウェブフォームやメールで脆弱性情報に関する届出を受け付けています。
URL:http://www.ipa.go.jp/security/vuln/report/

届出によるメリット

発見者が気をつけること

脆弱性の発見者が心得ておくべき法的な問題に関する法律専門家の見解として、脆弱性発見と脆弱性関連情報の管理に関して、情報セキュリティ早期警戒パートナーシップガイドライン(*5)の以下に記載していますのでご確認願います。

付録1 発見者が心得ておくべき法的な論点
1.「脆弱性関連情報の発見に際しての法的な問題」

脚注

(*1) IPA:独立行政法人 情報処理推進機構
http://www.ipa.go.jp/

(*2) JPCERT/CC:一般社団法人 JPCERT コーディネーションセンター
http://www.jpcert.or.jp/

(*3) AIST:独立行政法人 産業技術総合研究所
http://www.aist.go.jp/

(*4) 経済産業省:公示「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf

(*5) 情報セキュリティ早期警戒パートナーシップガイドライン
http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf