JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 脆弱性対策情報 > 脆弱性情報ハンドリングとは?

最終更新: 2016-05-30

脆弱性情報ハンドリングとは?


一般公表前の脆弱性関連情報は、ソフトウェア/ハードウエアシステム等におけるセキュリティ上の欠陥に係わる情報であり、その取扱には細心の注意を要します。JPCERT/CC では、脆弱性関連情報の取扱を脆弱性情報ハンドリングと呼んでいます。
脆弱性情報ハンドリングとは、公表前の脆弱性関連情報を必要に応じて公開することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止めるためのプロセスです。JPCERT/CC は、本枠組みの調整機関として、一般公表前に脆弱性関連情報を製品開発者に連絡し、対応 (パッチ、ワークアラウンドなどの作成) を依頼します。同時に、製品開発者に加えて海外の関係機関とも連携し、脆弱性関連情報を全世界で同時に公表するために、一般公表日を調整します。

調整機関のポジションと調整プロセス
[クリックすると拡大します]

Topへ

国内における枠組みと JPCERT/CC の役割について

2004年7月7日に経済産業省より公示された「ソフトウェア等脆弱性関連情報取扱基準」において、JPCERT/CC は、日本国内の脆弱性関連情報流通のための調整機関として指定されました。同指定告示により、情報の受け付け機関と指定を受けている独立行政法人情報処理推進機構 (IPA) と連携し、日本国内における脆弱性関連情報流通を行います。 また、上記基準をふまえ、IPA社団法人 電子情報技術産業協会 (JEITA)社団法人 情報サービス産業協会 (JISA)社団法人コンピュータソフトウェア協会 (CSAJ)特定非営利活動法人 日本ネットワークセキュリティ協会 (JNSA) と共同で、脆弱性関連情報の流通に関わる関係者、関係業界としての指針「情報セキュリティ早期警戒パートナーシップガイドライン」を作成しました。

公開日 タイトル PDF PGP署名
2016-05-30 情報セキュリティ早期警戒パートナーシップガイドライン-2016年版 1.88MB PGP 署名
2015-05-22 情報セキュリティ早期警戒パートナーシップガイドライン-2015年版 1.87MB PGP 署名
2014-05-30 情報セキュリティ早期警戒パートナーシップガイドライン 2014年版 1.14MB PGP 署名
2009-07-08 ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル 付録5抜粋編 308KB PGP 署名
2009-07-08 「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」英語版 293KB PGP 署名
2009-07-08 ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編 720KB PGP 署名
2009-07-08 ウェブサイト構築事業者のための脆弱性対応ガイド 付録7抜粋編 738KB PGP 署名
2009-07-08 「情報システムを安全にお使いいただくために」 260KB PGP 署名
2004-07-08 「情報セキュリティ早期警戒パートナーシップ」の運用開始について HTML
2004-07-08 「脆弱性関連情報取扱体制」 HTML

Topへ

国際間の調整機関パートナーシップ

JPCERT/CC は、海外セキュリティチームである、米国 CERT/CC、英国 CPNI とパートナーシップを締結し、脆弱性関連情報を安全かつ適切に取り扱うことを目的とし、一般公開日までの調整を行う協力関係を国際的に構築しています。
このパートナーシップのもと、JPCERT/CC は、海外セキュリティチームに報告される脆弱性情報について、事前に共有し、影響を受ける日本のベンダを特定し、情報の事前連絡、対応を依頼、公開スケジュールの調整をします。

国際的な枠組み
[クリックすると拡大します]

Topへ

公表日一致の原則

一般公表前の脆弱性関連情報をハンドリングする場合、脆弱性への対策方法が整わない時点で、脆弱性関連情報が一般に公表または悪意のある第三者に漏洩すると、悪意のあるコード(攻撃コード)が開発され、流通し、脆弱性の影響を受けるシステムに対する攻撃が始まる可能性があります。結果として製品利用者に被害が及ぶ事態を招く可能性があります。
また、特に複数の製品が影響を受ける脆弱性の場合には、情報の公表に当たって、関係者間で一定の足並みをそろえることが重要です。関係者間で調整した一般公表日時を待たずに、単独で情報を公表することは、他社の製品利用者を危険にさらす可能性があります。
海外機関との国際的な調整案件においては、情報開示の時期を誤った場合(一般公表日前に単独での情報公開を行った場合)、海外機関によって当該開発者を今後の脆弱性関連情報のハンドリングから外す措置が取られることがあります。

  • 具体的なハンドリングプロセスの詳細説明については、JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:794KB) (PGP 署名) をご参照ください。

Topへ

更新履歴
2016-05-30
情報セキュリティ早期警戒パートナーシップガイドライン-2016年版 (PDF: 1.88MB) に更新
2015-05-22
情報セキュリティ早期警戒パートナーシップガイドライン-2015 年版 (PDF: 1.87MB) に更新
2014-05-30
JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:794KB) を最新版に更新
2014-05-30
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:1.14MB) を2014年版に更新
2011-03-28
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:658KB) を2010年版に更新
2009-08-27
JPCERT コーディネーションセンター製品開発者リスト登録規約 (PDF:179KB) 内の誤記を修正
2009-07-10
JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:431KB) を最新版に更新
2009-07-08
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:604KB) を最新版に更新
2008-04-04
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:496KB) を最新版に更新
2007-06-11
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:108KB) を最新版に更新
2006-09-01
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:64KB) を最新版に更新
2006-01-12
情報セキュリティ早期警戒パートナーシップガイドライン (PDF:684KB)JPCERT コーディネーションセンター製品開発者リスト登録規約 (PDF:148KB) を最新版に更新
2004-10-18
JEITA/JISA ガイドラインを関連資料などに追加
2004-08-26
初版公開

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english