一般公表前の脆弱性関連情報は、ソフトウェア/ハードウエアシステム等におけるセキュリティ上の欠陥に係わる情報であり、その取扱には細心の注意を要します。JPCERT/CCでは、脆弱性関連情報の取扱を脆弱性情報ハンドリングと呼んでいます。
脆弱性情報ハンドリングとは、公表前の脆弱性関連情報を必要に応じて公開することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止めるためのプロセスです。JPCERT/CCは、本枠組みの調整機関として、一般公表前に脆弱性関連情報を製品開発者に連絡し、対応 (パッチ、ワークアラウンドなどの作成) を依頼します。同時に、製品開発者に加えて海外の関係機関とも連携し、脆弱性関連情報を全世界で同時に公表するために、一般公表日を調整します。
[クリックすると拡大します]
国内における枠組みとJPCERT/CCの役割について
「ソフトウエア製品等の脆弱性関連情報に関する取扱規程(平成29年経済産業省告示第19号) 」に基づき、ソフトウエア製品に係る脆弱性情報の公表など、脆弱性関連情報の取扱いを進めています。- 脆弱性関連情報の届出を受け付ける機関 (IPA(独立行政法人情報処理推進機構))
- 開発者等との調整を行う機関(JPCERT/CC)
- 脆弱性対策情報ポータルサイト (JVN)
| 公開日 | タイトル | PGP署名 | |
|---|---|---|---|
| 2024-09-18 | 情報セキュリティ早期警戒パートナーシップガイドライン概要-2024年版 | 509KB | ― |
| 2024-06-18 | 情報セキュリティ早期警戒パートナーシップガイドライン-2024年版 | 1.26MB | ― |
| 2022-06-01 | 情報セキュリティ早期警戒パートナーシップガイドライン-2019年版第2刷 | 1.66MB | ― |
| 2019-05-30 | 情報セキュリティ早期警戒パートナーシップガイドライン-2019年版 | 1.58MB | ― |
| 2017-06-06 | 情報セキュリティ早期警戒パートナーシップガイドライン概要-2017年版 | 465KB | PGP 署名 |
| 2017-05-30 | 情報セキュリティ早期警戒パートナーシップガイドライン-2017年版 | 1.61MB | PGP 署名 |
| 2016-05-30 | 情報セキュリティ早期警戒パートナーシップガイドライン-2016年版 | 1.88MB | PGP 署名 |
| 2015-05-22 | 情報セキュリティ早期警戒パートナーシップガイドライン-2015年版 | 1.87MB | PGP 署名 |
| 2014-05-30 | 情報セキュリティ早期警戒パートナーシップガイドライン-2014年版 | 1.14MB | PGP 署名 |
| 2009-07-08 | ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル 付録5抜粋編 | 308KB | PGP 署名 |
| 2009-07-08 | 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」英語版 | 293KB | PGP 署名 |
| 2009-07-08 | ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編 | 720KB | PGP 署名 |
| 2009-07-08 | ウェブサイト構築事業者のための脆弱性対応ガイド 付録7抜粋編 | 738KB | PGP 署名 |
| 2009-07-08 | 「情報システムを安全にお使いいただくために」 | 260KB | PGP 署名 |
| 2004-07-08 | 「情報セキュリティ早期警戒パートナーシップ」の運用を開始 | TXT | |
| 2004-07-08 | 「脆弱性関連情報取扱体制」 | HTML | |
過去のガイドラインの変更点については、IPAの資料をご覧ください。
IPA(独立行政法人情報処理推進機構)
過去の「情報セキュリティ早期警戒パートナーシップガイドライン」
https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html
国際間の調整機関パートナーシップ
JPCERT/CCは、海外セキュリティチームである、米国 CERT/CC、英国 CPNI とパートナーシップを締結し、脆弱性関連情報を安全かつ適切に取り扱うことを目的とし、一般公開日までの調整を行う協力関係を国際的に構築しています。
このパートナーシップのもと、JPCERT/CCは、海外セキュリティチームに報告される脆弱性情報について、事前に共有し、影響を受ける日本のベンダを特定し、情報の事前連絡、対応を依頼、公開スケジュールの調整をします。
[クリックすると拡大します]
公表日一致の原則
一般公表前の脆弱性関連情報をハンドリングする場合、脆弱性への対策方法が整わない時点で、脆弱性関連情報が一般に公表または悪意のある第三者に漏洩すると、悪意のあるコード(攻撃コード)が開発され、流通し、脆弱性の影響を受けるシステムに対する攻撃が始まる可能性があります。結果として製品利用者に被害が及ぶ事態を招く可能性があります。
また、特に複数の製品が影響を受ける脆弱性の場合には、情報の公表に当たって、関係者間で一定の足並みをそろえることが重要です。関係者間で調整した一般公表日時を待たずに、単独で情報を公表することは、他社の製品利用者を危険にさらす可能性があります。
海外機関との国際的な調整案件においては、情報開示の時期を誤った場合(一般公表日前に単独での情報公開を行った場合)、海外機関によって当該開発者を今後の脆弱性関連情報のハンドリングから外す措置が取られることがあります。
- ハンドリングプロセスの詳細については、JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:1.42MB) をご参照ください。
更新履歴
- 2024-09-18
- 情報セキュリティ早期警戒パートナーシップガイドライン概要-2024年版(PDF: 509KB) に更新
- 2024-06-18
- 情報セキュリティ早期警戒パートナーシップガイドライン-2024年版(PDF: 1.26MB) に更新
- 2022-06-01
- 情報セキュリティ早期警戒パートナーシップガイドライン-2019年版第2刷(PDF: 1.66MB) に更新
- 2019-07-08
- JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF: 1.42MB) を更新
- 2019-05-30
- 情報セキュリティ早期警戒パートナーシップガイドライン-2019年版 (PDF: 1.58MB) に更新
- 2017-07-31
- JPCERT/CC 製品開発者リスト登録規約 2017年度版公開 (PDF: 306KB) に更新
- 2017-06-22
- JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF: 1.04MB) に更新
- 2017-05-30
- 情報セキュリティ早期警戒パートナーシップガイドライン-2017年版 (PDF: 1.61MB) に更新
- 2016-05-30
- 情報セキュリティ早期警戒パートナーシップガイドライン-2016年版 (PDF: 1.88MB) に更新
- 2015-05-22
- 情報セキュリティ早期警戒パートナーシップガイドライン-2015 年版 (PDF: 1.87MB) に更新
- 2014-05-30
- JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:794KB) を最新版に更新
- 2014-05-30
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:1.14MB) を2014年版に更新
- 2011-03-28
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:658KB) を2010年版に更新
- 2009-08-27
- JPCERTコーディネーションセンター製品開発者リスト登録規約 (PDF:179KB) 内の誤記を修正
- 2009-07-10
- JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:431KB) を最新版に更新
- 2009-07-08
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:604KB) を最新版に更新
- 2008-04-04
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:496KB) を最新版に更新
- 2007-06-11
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:108KB) を最新版に更新
- 2006-09-01
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:64KB) を最新版に更新
- 2006-01-12
- 情報セキュリティ早期警戒パートナーシップガイドライン (PDF:684KB) と JPCERTコーディネーションセンター製品開発者リスト登録規約 (PDF:148KB) を最新版に更新
- 2004-10-18
- JEITA/JISA ガイドラインを関連資料などに追加
- 2004-08-26
- 初版公開
