脆弱性関連情報の届出受付

脆弱性関連情報の届出受付とは

脆弱性関連情報の適切な流通および対策の促進を図り、インターネット利用者に対する被害を予防することを目的として、2004年7月8日から経済産業省の告示に基づき策定された情報セキュリティ早期警戒パートナーシップガイドライン(PDF:1.2MB)に則り運用しています。

経済産業省の告示にて、下記のとおり指定されています。

留意事項

脆弱性関連情報取扱いの仕組みは、関係者の協力のもとで成り立つものであり、IPAでは以下のことは実施しておりません。そのため、必ずしも期待する対応が取られることは保証できないことを、ご了承ください。

• 発見者に対する、脆弱性関連情報の秘匿の強制
• 製品開発者に対する、脆弱性への対策の強制
• ウェブサイト運営者に対する、脆弱性の修正の強制

下記リンクより届出が可能です。

届出の対象

IPAでは、以下の脆弱性関連情報の届出を受付けています。

（1） ソフトウエア製品脆弱性関連情報

日本国内で利用されているOS、ブラウザ、メーラ等のクライアント上のソフトウエア、DBMS、ウェブサーバ等のサーバ上のソフトウエア、プリンタ、ICカード、PDA、コピー機等のソフトウエアを組み込んだハードウエア、制御システム用製品等に脆弱性を発見した場合に届け出てください。特に、複数の製品開発者の製品に影響する可能性がある脆弱性関連情報については、受け取れない製品開発者が出ないように、IPAへ届出を行うことが望まれます。なお、「暗号アルゴリズム」や「プロトコル」を実装しているものも含みますが、一般的な「暗号アルゴリズム」や「プロトコル」等の仕様そのものの脆弱性は含みません。

（2） ウェブアプリケーション脆弱性関連情報

主に日本国内からのアクセスが想定されているインターネット上のウェブサイト等で稼動する固有のシステムに脆弱性を発見した場合に届け出てください。

届出の取扱い方法

IPA は、届出を受けた脆弱性関連情報を、以下の告示、ガイドライン、取扱い方針等に従い取扱います。

告示

2004年に経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が制定され、2014年に改正されました。その後、2017年に経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号）が新たに制定され、2024年に改正されています。

• ソフトウエア製品等の脆弱性関連情報に関する取扱規程（平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号）(PDF)
• 受付機関及び調整機関を定める告示（平成31年経済産業省告示第19号）(PDF)

ガイドライン

• 情報セキュリティ早期警戒パートナーシップガイドライン-2024年版(PDF:1.2 MB)
  告示を踏まえ、関係業界と協調して国内におけるソフトウエア等の脆弱性関連情報を適切に取扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しました。関係者（発見者、IPAおよびJPCERT/CC、製品開発者、ウェブサイト運営者）に推奨する行為をとりまとめたものです。脆弱性の発見者は脆弱性関連情報を届出る際に、また、製品開発者およびウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
  
  なお、過去のガイドラインや改訂内容については、以下のページをご確認ください。
  情報セキュリティ早期警戒パートナーシップガイドライン
  
  

• 情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版(PDF:369KB)
  情報セキュリティ早期警戒パートナーシップの紹介として、関係者の方（発見者、製品開発者、ウェブサイト運営者）にご理解頂きたい告示・ガイドラインの要点を纏めたものです。

取り扱い方針

• 脆弱性関連情報等取扱い方針
  届出受付業務および調整不能案件の公表判定業務における脆弱性関連情報の取扱い方針です。
  

• 脆弱性関連情報の届出における個人情報の取扱い方針
  届出受付業務および調整不能案件の公表判定業務における個人情報の取扱い方針です。
  

• 脆弱性関連情報の届出受付業務における取扱いプロセス
  ソフトウエア製品、ウェブアプリケーション、自社製品の脆弱性関連情報の届出受付業務の取扱いプロセスです。
  

• 調整不能案件の公表判定業務における取扱いプロセス
  調整不能案件に係る公表判定業務の取扱いプロセスです。
  

• 脆弱性関連情報として取り扱えない場合の考え方の解説
  「情報セキュリティ早期警戒パートナーシップガイドライン」における「脆弱性情報」として取扱えない場合の考え方の解説です。
  

届出先

届出の際には、以下の 2つの方法のどちらかをご利用ください。

なお、IPAへ届出する以外にも、社外からの連絡窓口を設置し、発見者から直接の届出を受け入れる製品開発者、ウェブサイト運営者の場合、直接届け出ることも可能です。発見者と製品開発者もしくはウェブサイト運営者との調整が難航した場合には、IPAに連絡をしてください。IPAから、製品開発者もしくはウェブサイト運営者へ連絡し、調整を実施します。

（1） 電子メール

下記の届出様式に則り必要事項を記入の上、メールでご連絡ください。IPAでは PGP公開鍵による暗号化を推奨しています。ただし、暗号化は必須ではありません。

届出の際には、以下の届出様式をご利用ください。

ソフトウエア製品脆弱性関連情報

ウェブアプリケーション脆弱性関連情報

自社製品に関する脆弱性関連情報

（2） ウェブ届出フォーム

ウェブ届出フォームの案内に従い、必要事項を記入してください。

参考情報

• 経済産業省「脆弱性関連情報取扱体制」
• 情報セキュリティ早期警戒パートナーシップガイドライン

製品開発者向け

• ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第6版(PDF:496 KB)
  • 共通脆弱性評価システムCVSS v3について(付録1)(PDF:290 KB)
• 組込みソフトウェアを用いた機器におけるセキュリティ(PDF:909 KB)
• 組込みソフトウェアのセキュリティ ～機器の開発等における40のポイント～(PDF:128 KB)
• 制御システム利用者のための脆弱性対応ガイド 第3版(PDF:1.2 MB)
• IoT製品・サービス脆弱性対応ガイド 第1版(PDF:1.8 MB)
• 脆弱性対処に向けた製品開発者向けガイド

ウェブサイト運営者向け

• ウェブサイト運営者のための脆弱性対応ガイド 第3版(PDF:1.2 MB)
• ウェブサイト構築事業者のための脆弱性対応ガイド 第4版(PDF:1.2 MB)
• セキュリティ担当者のための脆弱性対応ガイド 第3版(PDF:1.4 MB)
• パンフレット「情報システムの安全を維持していただくために」第3版(PDF:289 KB)
• 安全なウェブサイト運営にむけて(PDF:1.4 MB)
• 地方公共団体のための脆弱性対応ガイド 第2版(PDF:840 KB)
• ウェブサイト運営者向け「セキュリティ問い合わせ窓口設置」の手引き(PDF:1.5 MB)

利用者向け

• ネット接続製品の安全な選定・利用ガイド

情報システム等の脆弱性情報の取扱いに関する研究会 報告書

• 2023年度（情報システム等の脆弱性情報の取扱いに関する調査の報告書など）
• 2021年度（セキュリティに関する窓口設置推奨資料や研究会報告書など）
• 2020年度（企業ウェブサイトのための脆弱性対応ガイド改訂など）
• 2019年度（製品開発者向けガイド及び一般消費者向けガイドなど）
• 2018年度（法律面の調査報告書改訂など）
• 2017年度（IoT製品・サービス開発者のセキュリティ対策と意識の調査結果など）
• 2016年度（重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果）
• 2015年度（新たな情報セキュリティ早期警戒パートナーシップの基本構想など）
• 2014年度（制御システム利用者のための脆弱性対応ガイドなど）
• 2013年度（パートナーシップにおけるグローバル化の調査報告書など）
• 2012年度（企業ウェブサイトのための脆弱性対応ガイドなど）
• 2011年度（地方公共団体のための脆弱性対応ガイドなど）
• 2010年度（セキュリティ担当者のための脆弱性対応ガイドなど）
• 2008年度（ウェブサイト構築事業者のための脆弱性対応ガイドなど）
• 2007年度（ウェブサイト運営者のための脆弱性対応ガイドなど）
• 2006年度（ソフトウエア製品開発者による脆弱性対策情報の公表マニュアルなど）
• 2005年度（組込みソフトウェアのセキュリティ対策のポイント集など）
• 2004年度（運用実績を踏まえた問題点整理と今後の取組み）
• 2003年度（情報システム等の脆弱性情報の取扱いにおける法律面の調査など）

情報システム等の脆弱性情報の取扱いに関する研究会 配布資料

• 2023年度
• 2021年度
• 2020年度
• 2019年度

統計情報

• 脆弱性関連情報の届出状況一覧（最新情報掲載中）
• 脆弱性対策情報データベースJVN iPediaの登録状況（最新情報掲載中）