情報セキュリティ
最終更新日:2023年12月13日
独立行政法人情報処理推進機構
セキュリティセンター
2004年7月8日から経済産業省の告示に基づき、独立行政法人情報処理推進機構(IPA)は脆弱性関連情報の届出の受付、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行ってきました。
この中で、製品開発者との間で、ソフトウエア製品の脆弱性情報について製品開発者への連絡及び公表に係る調整が不可能であると判断した届出(以降「調整不能案件」)があります。この様な調整不能案件に対して、何らかの調整を行わないと、脆弱性が存在する状態が継続されてしまうこと、もしくは、脆弱性情報が公表されない事により脆弱性があるソフトウエア製品を継続して利用し、製品利用者が被害に遭う可能性がある状況です。
この状況を受け、製品利用者の脆弱性による被害を受ける可能性を低減するためには、脆弱性情報を知り得ること、および、知り得た情報により対策を実施するための判断をする機会を得るための情報を提供する必要があります。このため、IPAは調整不能案件の脆弱性情報を公表するか否かを判定する公表判定運用を行い、判定の結果により脆弱性情報を公表します。
2014年5月14日 経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」により、IPAが公表判定機関に指定されました。また、告示に則り策定したガイドラインに基づき、連絡不能案件の公表判定の運用を開始しました。
2017年5月30日 告示に則り策定したガイドラインに基づき、調整不能案件に対する公表判定の運用を開始しました。
調整不能案件の取扱いにおいては、脆弱性情報を公表しない場合に製品利用者等が受けうる被害と、公表した場合に製品開発者、製品利用者等が被りうる不利益が生じ得ます。このバランスに配慮するとともに、社会的背景も思料し、不利益を被りうる関係者が意見を表明することも可能な、透明性・妥当性のある処理プロセスを整備しました。
発見者からのソフトウエア製品の脆弱性関連情報の届出を受付けます。
以降、受付した順序に関わらず、届出された脆弱性による影響が大きい案件を優先して取扱います。
記入項目に不備がないか、脆弱性であるか否か等を確認し、発見者へ受理/不受理とした旨を通知します。届出内容に不明な点がある場合は、発見者へ確認を行うことがあります。
IPAは、脆弱性関連情報を JPCERT/CCに通知します。
JPCERT/CCは、脆弱性関連情報を通知し対策を促すため、製品開発者の連絡先を調査し連絡を試みます。
製品開発者に連絡が取れない場合は、連絡不能開発者一覧に公表し、製品開発者からの連絡を呼びかけます。
脆弱性による影響が小さい脆弱性の場合、製品開発者に連絡することで取扱いを終了することがあります。
JPCERT/CCは製品開発者への連絡を開始した旨(起算日)、および、製品開発者へ詳細情報を通知した場合は、詳細情報通知日をIPAへ通知します。IPAは起算日を発見者へ通知します。
JPCERT/CCは、連絡不能開発者一覧に公表後も製品開発者と連絡がとれない場合や、その他の理由で製品開発者と脆弱性情報の公表(参照:7、11)に係る調整が不可能である場合に、その旨をIPAへ通知します。
IPAは、JPCERT/CCと製品開発者との間で脆弱性情報の公表に係る合意に至ることが社会通念上困難になったと判断される場合、その案件が脆弱性情報を公表する条件を満たしているかを判定する「公表判定委員会」を組織します。
IPAは、公表判定委員会が行った判定に基づき、公表するかどうかの判断を行い、その結果と理由をJPCERT/CCと製品開発者へ通知します。
IPAは、公表する内容について製品開発者から併記を希望する見解を聴取します(連絡不能案件の場合を除く)。
IPA、JPCERT/CCは、公表が適当であると判定した調整不能案件について、製品開発者名とともに脆弱性情報をポータルサイト(JVN)にて公表します。なお、製品開発者から併記を希望する見解が提出された場合は併記します。公表した際は、その旨を発見者へ通知します。
公表判定委員会は、IPAにより組織され、法律、サイバーセキュリティ、当該ソフトウエア製品分野の専門家などの専門的な知識経験を有する者を委員として指名し、委員長、委員、事務局から構成されます。また、公表判定の際には、中立性を考慮し、当該調整不能案件に利害関係のない委員で判定を行います。
公表判定委員会は、関係者に意見表明の機会を提供し、その意見を踏まえ、公表が適当か否か(公表する条件を満たしているか否か)を判定します。
電気通信大学
制御システム
国立研究開発法人産業技術総合研究所
サイバーセキュリティ
名古屋大学
組込みシステム
駒沢綜合法律事務所
法律
慶応義塾大学
サイバーセキュリティ
成城大学
法律
(五十音順、敬称略)
下記の全ての状況を満たす場合、公表することが適当と判断します。それ以外は、公表しないことと判定します。
調整機関と製品開発者との間の脆弱性情報の公表に係る調整が不可能であること
脆弱性の存在が認められること
ソフトウエア製品の脆弱性とは、ソフトウエア製品等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所です。ソフトウエア製品において、情報セキュリティの三大要素(機密性、完全性、可用性)の1つ以上が侵害される可能性があり、その原因となる問題挙動をIPAまたはJPCERT/CCが具体的に例示可能であり、製品開発者が反証できないとき、脆弱性の存在が認められると判断します。なお、判断においては、一般的なソフトウエア製品の利用方法や、製品開発者があらかじめ提示している使用条件等を考慮します。
IPAが公表しない限り、脆弱性情報を知り得ない製品利用者がいるおそれがあること
製品開発者が当該ソフトウエア製品の製品利用者全員に確実に通知することが困難な場合を対象とします。たとえば、ソフトウエア製品が市販されている場合や、ホームページ等でダウンロード可能である場合はこれに該当します。
製品開発者や製品利用者の状況等を総合的に勘案して、公表が適当でないと判断する理由・事情がないこと
製品開発者の取組みや製品利用者の状況を鑑みて、公表することが適当ではないと判断する明確な理由・事情がある場合には、公表を行いません。
2023年12月13日
「公表判定委員会名簿」を更新
2019年5月30日
記載内容の一部修正
2017年5月30日
調整不能案件の公表判定業務における取扱いプロセスを更新
2015年7月23日
連絡不能案件の公表判定業務における取扱いプロセスを掲載