情報セキュリティ早期警戒パートナーシップガイドライン

IPAでは、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）等とともに、脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しています。脆弱性関連情報を適切に流通させるための枠組みである 「情報セキュリティ早期警戒パートナーシップ」は、「情報セキュリティ早期警戒パートナーシップガイドライン」に則り運用しています。
「情報セキュリティ早期警戒パートナーシップ」への届出様式など、届出受付対応に関する詳細については、以下のページをご確認ください。

• 脆弱性関連情報の届出受付

本ページメニュー

情報セキュリティ早期警戒パートナーシップガイドラインとは

「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号）の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組みです。
IPA、一般社団法人JPCERTコーディネーションセンター（略称：JPCERT/CC）、一般社団法人 電子情報技術産業協会(略称：JEITA)、一般社団法人 ソフトウェア協会(略称：SAJ)、一般社団法人 情報サービス産業協会(略称：JISA)及び特定非営利活動法人 日本ネットワークセキュリティ協会(略称：JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しています。また、「情報システム等の脆弱性情報の取扱いに関する研究会」（座長：土居 範久、慶応義塾大学名誉教授）では、より適切な脆弱性対策やパートナーシップ上の課題について検討を実施し、その検討結果を踏まえ「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を実施しています。

「情報セキュリティ早期警戒パートナーシップガイドライン」では、関係者（発見者、IPA及びJPCERT/CC、製品開発者、ウェブサイト運営者）に推奨する行為がとりまとめられています。脆弱性の発見者は脆弱性関連情報を届出する際に、また、製品開発者及びウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、本ガイドラインに則した対応をとることが求められます。
ガイドラインについては、本体のほかに、内容の概略を紹介する「概要版」（日本語版及び英語版）を公開しています。また、ガイドライン「別冊」では、製品開発者やウェブサイト構築事業者、ウェブサイト運営者、セキュリティ担当者に向けた推奨事項や対策のポイントを紹介しています。

ガイドライン等資料のダウンロード

ガイドライン

• 情報セキュリティ早期警戒パートナーシップガイドライン-2024年版(PDF:1.2 MB)
• 情報セキュリティ早期警戒パートナーシップガイドライン概要日本語版(PDF:369 KB)
• 情報セキュリティ早期警戒パートナーシップガイドライン別冊
  • ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第6版(PDF:496 KB)
  • 共通脆弱性評価システムCVSS v3について(付録1)(PDF:290 KB)
  • ウェブサイト構築事業者のための脆弱性対応ガイド 第4版(PDF:1.2 MB)
  • ウェブサイト運営者のための脆弱性対応ガイド 第3版(PDF:1.2 MB)
  • セキュリティ担当者のための脆弱性対応ガイド 第3版(PDF:1.4 MB)

参考資料

• パンフレット「情報システムの安全を維持していただくために 第3版」(PDF:289 KB)
• 地方公共団体のための脆弱性対応ガイド 第2版(PDF:840 KB)
• 制御システム利用者のための脆弱性対応ガイド 第3版(PDF:1.2 MB)
• 脆弱性対処に向けた製品開発者向けガイド
• ネット接続製品の安全な選定・利用ガイド

英語版

• 情報セキュリティ早期警戒パートナーシップガイドライン概要英語版(PDF:300 KB)
• 情報セキュリティ早期警戒パートナーシップガイドライン別冊
  • ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル英語版
  • Vulnerability Disclosure Guideline for Software Developers(PDF:337 KB)

関連資料

• 国内における枠組みと JPCERT/CC の役割について（JPCERT/CC）
• 製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン（JEITA・JISA）
• 製品開発ベンダーにおける脆弱性情報取扱に関する体制と手順整備のためのガイドライン（SAJ(旧JPSA)）(PDF:306 KB)
• SI 事業者における脆弱性関連情報取扱に関する体制と手順整備のためのガイダンス（JISA・JEITA）(PDF:271 KB)

改訂内容

2024年の改訂

2023年度の「情報システム等の脆弱性情報の取扱いに関する研究会」による検討結果を踏まえて主として次の事項について改訂しました。

• 詳しくは、以下の2023年度報告書の「5. Pガイドラインの改訂等」をご参照ください。
  • 「情報システム等の脆弱性情報の取扱いに関する研究会」2023年度報告書（全57ページ）(PDF:1.7 MB)

また、2024年6月18日に公布・施行された告示の一部改正への対応として、次の事項について改訂しました。

2019年の改訂

2018年度の「情報システム等の脆弱性情報の取扱いに関する研究会」による検討結果を踏まえて主として以下の事項について改訂しました。

• 詳しくは、以下の2018年度報告書の「6.パートナーシップガイドラインの改訂等に関する調査」をご参照ください。
  • 「情報システム等の脆弱性情報の取扱いに関する研究会」2018年度報告書（全73ページ）(PDF:1.9 MB)
• なお、「2019年版」については、ガイドラインに掲載するURLのリンク切れや組織名の変更などを反映した第2刷を2022年に発行しました。

2017年の改訂

2016年度の「情報システム等の脆弱性情報の取扱いに関する研究会」による検討結果及び2017年2月に新たに制定された経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」を踏まえた改訂を実施しました。
研究会の議論を踏まえ、主に以下の3点について改訂を行いました。

また、告示の変更に対応し、主として次の修正を行いました。

• 
  詳しくは、以下の2016年度報告書の「10.情報セキュリティ早期警戒パートナーシップガイドラインの改訂等に関する調査」をご参照ください。
  • 「情報システム等の脆弱性情報の取扱いに関する研究会」2016年度報告書（全87ページ）(PDF:1.9 MB)

参考情報（過去のガイドライン等）

過去の「情報セキュリティ早期警戒パートナーシップガイドライン」

• 2019年版第2刷(PDF:1.1 MB)
• 2019年版第1刷(PDF:1.5 MB)
• 2017年版(PDF:1.6 MB)
• 2016年版(PDF:1.8 MB)
• 2015年版(PDF:1.8 MB)
• 2014年版(PDF:1.1 MB)
• 2011年版(PDF:577 KB)
• 2009年版(PDF:605 KB)
• 2008年版(PDF:494 KB)
• 2007年版(PDF:107 KB)
• 2006年版(PDF:62 KB)
• 2005年版(PDF:66 KB)
• 2004年版(PDF:61 KB)

変更内容の説明

• 2011年版の変更点(PDF:75 KB)
• 2009年版の変更点(PDF:99 KB)
• 2008年版の変更点(PDF:64 KB)
• 2007年版の変更点(PDF:17 KB)
• 2006年版の変更点(PDF:25 KB)
• 2005年版の変更点(PDF:65 KB)