情報システム等の脆弱性情報の取扱いにおける報告書、および法律面の調査報告書改訂版

　IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会（以降、研究会）」（座長：土居 範久慶應義塾大学名誉教授）において2015年度にとりまとめ公開した「新たな情報セキュリティ早期警戒パートナーシップ^(*1)の基本構想」にあるパートナーシップ将来像の実現に向けたロードマップに則り、今年度は「優先情報提供の実績評価、提供先拡大に関する調査」について、検討しました。また、新たな課題である「ソフトウエア製品の脆弱性対処における実態調査および脆弱性対処の促進に関する調査」や「調整不能案件の一覧への掲載、公表手続きの改善に向けた検討」についても検討し、これらを踏まえた情報セキュリティ早期警戒パートナーシップガイドラインの改訂などに取り組みました。
2018年度の研究会の活動成果として、以下の報告書などを公開しました。

本ページメニュー 　　●情報システム等の脆弱性情報の取扱いに関する研究会　2018年度報告書 　　●情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書 改訂版 　　●情報セキュリティ早期警戒パートナーシップガイドライン　改訂案 　　●資料のダウンロード 　　●関連資料

　2018年度研究会の活動成果をまとめた報告書を公開しました。

■報告書の構成（目次）

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
　1.1.　背景
　1.2.　運用の状況
　1.3.　本年度研究会における検討
2. ソフトウエア製品の脆弱性対処における実態調査および脆弱性対処の促進に関する調査
　2.1.　調査の概要
　2.2.　調査結果
3. 「優先情報提供」の実績評価、提供先拡大に関する調査
　3.1.　調査の概要
　3.2.　アンケート調査
　3.3.　ヒアリング調査
　3.4.　優先情報提供制度課題整理、改善策・有効性を高める方策
　3.5.　新たな手続き方法に関する調査
4. 調整不能案件の一覧への掲載、公表手続きの改善に向けた検討
　4.1.　調査の概要
　4.2.　調査結果
5. 法的課題の整理
　5.1.　調査の概要
　5.2.　調査結果
6. パートナーシップガイドラインの改訂等に関する調査
　6.1.　調査結果

参考1　2018年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2　脆弱性研究会の検討経緯

　近年の法整備・改正を踏まえ、パートナーシップに詳しい法務専門家が主導する形で、法的な観点からパートナーシップの法的解釈について再度整理を行いました。主な整理項目は下記の通りです。

第1章　脆弱性情報と取扱いルールと法律とのかかわり

• 違法な手段で入手された脆弱性関連情報
• 公表判定委員会の概要・趣旨について
• 脆弱性調査としてのリバースエンジニアリングについての問題点
• IoT機器の脆弱性調査に関する事項
• IoTをめぐるPガイドラインと安全規制の関係
• 脆弱性調査をめぐる法的事件

第2章　「情報セキュリティ早期警戒パートナーシップガイドライン」における法的関連記述の逐条解説

• Pガイドラインの改訂検討結果に基づくPガイドラインの適用範囲の明確化
• 自社製品届出の開発者の位置づけ
• 脆弱性調査としてのリバースエンジニアリングについての問題点
• 「不特定または多数の人々に影響する」の意味
• Pガイドラインの改訂検討結果に基づく「受理」の概念と脆弱性の特定の関係
• ソフトウエア製品の定義について

　パートナーシップガイドライン上の法律に関係する解説については、2004年に公表した「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書」の内容を改定する形で、「法律面の調査報告書 改訂版」として取りまとめ公開しました。

■資料の構成（目次）

1. 脆弱性情報の取扱いルールと法律とのかかわり
　1.1.　総論
　1.2.　脆弱性情報取扱い体制の法的意味
　1.3.　脆弱性の意義と諸問題
　1.4.　脆弱性情報発見・通知と契約法の問題
　1.5.　脆弱性発見と不正アクセス、そして、届出の受理について
　1.6.　脆弱性発見・公開者と攻撃者によるセキュリティ侵害に対する不法行為
　1.7.　脆弱性発見・公開者の行為による開発者に対する不法行為
　1.8.　公表判定委員会の概要と趣旨について
　1.9.　取扱い基準関与者自身の法律問題

2.「情報セキュリティ早期警戒パートナーシップガイドライン」における法的関連記述の逐条解説

1. はじめに
2. 用語の定義と前提
3. 本ガイドラインの適用の範囲
4. ソフトウエア製品に係る脆弱性関連情報取扱
5. ウェブアプリケーションに係る脆弱性関連情報取扱

付録3法的な論点について

1. 発見者が心得ておくべき法的な論点
2. 製品開発者が心得ておくべき法的な論点
3. ウェブサイト運営者が心得ておくべき法的な論点

　情報セキュリティ早期警戒パートナーシップガイドラインについて、主に下記の3点を変更しました。

• 調整不能案件の一覧への掲載、公表手続きの改善に向けた検討結果の反映
• 法律面の調査結果の反映
• 表現等の軽微な修正

　詳しくは、「情報システム等の脆弱性情報の取扱いに関する研究会 2018年度報告書」を参照下さい。

(*1)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。

■2018年度 新規公開資料

　ガイドライン改訂案へのパブリック・コメントについては、2019年4月1日～2019年4月26日の期間で受け付けます。以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。

　前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

• 2017年度（IoT製品・サービス開発者のセキュリティ対策と意識の調査結果など）
  
• 2016年度（重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準など）
  
• 2015年度（新たな情報セキュリティ早期警戒パートナーシップの基本構想など）
  
• 2014年度（制御システム利用者のための脆弱性対応ガイドなど）
  
• 2013年度（グローバル化の課題と今後の方針 調査報告書など）
  
• 2012年度（企業ウェブサイトのための脆弱性対応ガイドなど）
  
• 2011年度（地方公共団体のための脆弱性対応ガイドなど）
  
• 2010年度（セキュリティ担当者のための脆弱性対応ガイドなど）
  
• 2008年度（ウェブサイト構築事業者のための脆弱性対応ガイドなど）
  
• 2007年度（ウェブサイト運営者のための脆弱性対応ガイドなど）
  
• 2006年度（ソフトウェア製品開発者による脆弱性対策情報の公表マニュアルなど）
• 2005年度（組込みソフトウェアのセキュリティ対策のポイント集など）
• 2004年度（運用実績を踏まえた問題点整理と今後の取組み）
• 2003年度（情報システム等の脆弱性情報の取扱いにおける法律面の調査など）

IPA セキュリティセンター 渡辺／板橋
TEL：03-5978-7527　FAX：03-5978-7552 E-mail：