ソフトウェア製品等の脆弱性関連情報に関する取扱規程
概要
ソフトウエア製品及びウェブアプリケーションに係る脆弱性関連情報等の取扱いに必要な事項を定めた規程です。
https://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf
イメージ的な説明
ソフトウェア製品等の脆弱性関連情報に関する取扱規程(以下「本規程」という)は、ソフトウェアなどでウイルスや不正アクセスに対する脆弱性(セキュリティホール)を発見したときに受付期間であるIPAに届出すること、IPAと調整機関であるJPCERT/CCが行う事項、ソフトウェアなどの開発者が行う事項などを定めています。
ウイルスに感染したときや不正アクセスの攻撃を受けたときもIPAに届出しますが、それは「コンピュータウイルス対策基準」「コンピュータ不正アクセス対策基準」に基づきます。この規程が対象にしているのは、それらの原因となるセキュリティホール(脆弱性)を発見したときです。また、 製品開発者とはウイルスなどの作成者ではなく、まっとうなソフトウエア製品やウェブアプリケーションの開発者です。
脆弱性は早期に修正しなければなりません。それに対処するため、IPAとJPCERT/CCは「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用しています。本ガイドラインでは、具体的に発見から解決までの手続を示し、発見者や開発者との協力について示しています。
目的(第1条)
本規程は、サイバーセキュリティの確保のため、ソフトウエア製品等の脆弱性関連情報を取り扱う者に推奨する行為を定めることにより、コンピュータウイルス、コンピュータ不正アクセス等によって不特定又は多数の者に対して引き起こされる被害を予防し、これらへの対策を講じ、もって情報の適切な流通の促進を図り、経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現に資することを目的とする。
本既定の対象
- ソフトウェア製品等
-
- ソフトウエア製品
ソフトウエア又はそれを組み込んだハードウエアであって、汎用性を有する製品をいう。
- ウェブアプリケーション
インターネット上のウェブサイトで稼働する固有のシステムをいう。
日本国内で利用されているソフトウエア製品
主に日本国内からのアクセスが想定されているウェブサイトで稼働するウェブアプリケーション
であり、
その脆弱性に起因する影響が不特定又は多数の者に及ぶおそれのあるもの
としています。 - ソフトウエア製品
- 脆弱性・脆弱性情報
- 脆弱性とは「コンピュータウイルス、コンピュータ不正アクセス等の攻撃によりその機能や性能を損なう原因となり得る安全性上の問題箇所(ウェブアプリケーションにあっては、アクセス制御機能により保護すべき情報等に不特定又は多数の者がアクセスできる状態を含む。)」のことです。
脆弱性関連情報とは、次に掲げるものをいいます。
① 脆弱性情報
② 脆弱性が存在することを検証する方法
③ 脆弱性を悪用するプログラム、指令又はデータ及びそれらの使用方法
本規程の関係者
- 発見者
- 脆弱性関連情報を発見又は取得した者です。
- 受付機関・調整機関
- 受付機関とは、脆弱性関連情報の届出を取り扱う機関です。IPAが担当しています。
受付機関は、法律又はサイバーセキュリティに関する専門的な知識経験を有する者により構成される公表判定委員会を設置します。
調整機関とは、ソフトウエア製品の脆弱性関連情報について、製品開発者への連絡及び公表に係る調整を行う機関です。JPCERT/CCが担当しています。 - 製品開発者・ウェブサイト運営者
- 製品開発者は次のいずれかに該当する者です。
- ① ソフトウエア製品を開発した者
- ② ソフトウエア製品の加工、輸入、販売又は頒布する者であって、当該者の性質及び態様その他の事情に照らして、当該ソフトウエア製品を実質的に開発した者と認められる者
発見者は、IPAに脆弱性を届け、届けられた脆弱性関連情報は、IPAが発見者の窓口となり、関係機関と連絡を取りながら、JPCERT/CCが製品開発者あるいはウェブサイト運営者との間で調整、対応状況の発表などを行うことになります。
情報セキュリティ早期警戒パートナーシップガイドライン
https://www.ipa.go.jp/files/000073901.pdf
発見から発表までのプロセスは、本ガイドラインが具体的に示しています。
一般的な流れ
- 発見・届出
- 脆弱性を発見したら、所定の様式で受付機関であるIPAに脆弱性関連情報を届け出します。
この際、発見・取得する際には法令に触れることがないように注意すること、無関係な第三者に漏れないよう適切に管理することが必要です。
届出の際、発見者の連絡先および発見者情報を記載しますが、発見者が希望しない場合、発見者情報は第三者に開示されません。
発見者が直接に脆弱性関連情報を届け出るか否かは発見者に任せられます。 - 確認・検証
-
- IPAは内部の専門家による公表判定委員会、必要に応じて外部の機関の協力を得て届出内容を確認・検証をします。
該当しないと判断したときは、発見者に差し戻します。 - 脆弱性がソフトウェア製品の場合は、調整機関であるJPCERT/CCに連絡します。
ウェブアプリケーションの場合は、IPAから直接にウェブサイト運営者と調整に入ります。
- IPAは内部の専門家による公表判定委員会、必要に応じて外部の機関の協力を得て届出内容を確認・検証をします。
- 調整・報告(ソフトウェア製品)
-
- 製品開発者は、JPCERT/CCから脆弱性関連情報を受け取ったら、該当製品の脆弱性検証を行って、その結果と対処方法をJPCERT/CCに報告・相談します。また公表も相談します。
製品開発者は、IPA、JPCERT/CCを介し、発見者の了承を得て、発見者と直接情報交換をすることもできます。 - 脆弱性関連情報は悪用を防ぐために、公表日以前に第三者に漏えいしないようにします。しかし、緊急が重要と判断した場合、製品開発者は、JPCERT/CCと調整した上で、製品利用者に脆弱性検証の結果や対応状況を公表前に通知することができます。
- JPCERT/CCは、対応状況の集約、公表日の調整等をIPAに随時連絡します。
公表日には、IPA、製品開発者は、対応方法の情報も併せて公表します。
- 製品開発者は、JPCERT/CCから脆弱性関連情報を受け取ったら、該当製品の脆弱性検証を行って、その結果と対処方法をJPCERT/CCに報告・相談します。また公表も相談します。
- 調整・報告(ウェブアプリケーション)
-
- IPAは脆弱性関連情報を該当するウェブサイト運営者へ連絡します。運営者は脆弱性の内容を検証し、その影響を把握し、その結果をIPAに連絡します。
脆弱性を修正した場合、IPAに連絡します。 - 通常の脆弱性の場合は公表の必要はありませんが、個人情報が漏洩した可能性がある場合は、運営者は脆弱性の修正後に情報の公表を検討する。
- IPAは脆弱性関連情報を該当するウェブサイト運営者へ連絡します。運営者は脆弱性の内容を検証し、その影響を把握し、その結果をIPAに連絡します。
関連事項
- JVN(Japan Vulnerability Notes)
- 「情報セキュリティ早期警戒パートナーシップ」に基いて、IPAおよびJPCERT/CCが共同運営する脆弱性対策情報ポータルサイトです。上述のソフトウェア製品脆弱性のIPAからの公表は、これを介して行われます。(https://jvn.jp/)
- 外国ソフトウェア製品開発者
- ソフトウェア製品を開発した企業または個人が外国の場合、そのソフトウエア製品の国内での主たる販売権を有する会社(外国企業の日本法人や総代理店等)が開発者になります。
- 連絡のつかない製品開発者
- 製品開発者の連絡先が不明か適切な連絡手段が存在しない、連絡をとるためにその製品開発者名等を公表することがあります。
それでも連絡が取れない場合、IPAおよびJPCERT/CCによる「公表判定委員会」での審議を経て、当該脆弱性を公表することがあります。