一般公表前の脆弱性関連情報は、ソフトウェア/ハードウエアシステム等におけるセキュリティ上の欠陥に係わる情報であり、その取扱には細心の注意を要します。JPCERT/CC では、脆弱性関連情報の取扱を脆弱性情報ハンドリングと呼んでいます。
脆弱性情報ハンドリングとは、公表前の脆弱性関連情報を必要に応じて公開することで、脆弱性情報の悪用、または障害を引き起こす危険性を最小限に食い止めるためのプロセスです。JPCERT/CC は、本枠組みの調整機関として、一般公表前に脆弱性関連情報を製品開発者に連絡し、対応 (パッチ、ワークアラウンドなどの作成) を依頼します。同時に、製品開発者に加えて海外の関係機関とも連携し、脆弱性関連情報を全世界で同時に公表するために、一般公表日を調整します。

［クリックすると拡大します］

Topへ

国内における枠組みと JPCERT/CC の役割について

2004年7月7日に経済産業省より公示された「ソフトウェア等脆弱性関連情報取扱基準」において、JPCERT/CC は、日本国内の脆弱性関連情報流通のための調整機関として指定されました。同指定告示により、情報の受け付け機関と指定を受けている独立行政法人情報処理推進機構 (IPA) と連携し、日本国内における脆弱性関連情報流通を行います。 また、上記基準をふまえ、IPA、社団法人 電子情報技術産業協会 (JEITA)、社団法人 情報サービス産業協会 (JISA)、社団法人コンピュータソフトウェア協会 (CSAJ)、特定非営利活動法人 日本ネットワークセキュリティ協会 (JNSA) と共同で、脆弱性関連情報の流通に関わる関係者、関係業界としての指針「情報セキュリティ早期警戒パートナーシップガイドライン」を作成しました。

Topへ

国際間の調整機関パートナーシップ

JPCERT/CC は、海外セキュリティチームである、米国 CERT/CC、英国 CPNI とパートナーシップを締結し、脆弱性関連情報を安全かつ適切に取り扱うことを目的とし、一般公開日までの調整を行う協力関係を国際的に構築しています。
このパートナーシップのもと、JPCERT/CC は、海外セキュリティチームに報告される脆弱性情報について、事前に共有し、影響を受ける日本のベンダを特定し、情報の事前連絡、対応を依頼、公開スケジュールの調整をします。

［クリックすると拡大します］

Topへ

公表日一致の原則

脆弱性情報ハンドリング中、脆弱性関連情報が一般に、また悪意のある第三者に漏れると、対策方法が整わない時点で、悪意のあるコード (攻撃コード) が開発され、流通し、システムの脆弱性への攻撃が始まる可能性があります。結果としてユーザーに危険が及ぶ事態を招く可能性があります。特に、複数のシステムが影響を受ける脆弱性の場合には、関係者間で一定の足並みをそろえることが重要です。
また、関係者間で調整した一般公表日を待たずに、単独で情報公開することは、他の製品利用者を危険にさらす可能性があります。情報開示の時期を誤った場合(単独での一般公表日前の情報公開を行った場合)、当該開発者が今後の脆弱性関連情報のハンドリングから外されるだけでなく、日本全体として公表前の脆弱性関連情報がコーディネーションできなくなる最悪のケースも考えられます。

Topへ

更新履歴

2009-08-27

JPCERT コーディネーションセンター製品開発者リスト登録規約 (PDF:179KB) 内の誤記を修正

2009-07-10

JPCERT/CC 脆弱性関連情報取扱いガイドライン (PDF:431KB) を最新版に更新

2009-07-08

情報セキュリティ早期警戒パートナーシップガイドライン (PDF:604KB) を最新版に更新

2008-04-04

情報セキュリティ早期警戒パートナーシップガイドライン (PDF:496KB) を最新版に更新

2007-06-11

情報セキュリティ早期警戒パートナーシップガイドライン (PDF:108KB) を最新版に更新

2006-09-01

情報セキュリティ早期警戒パートナーシップガイドライン (PDF:64KB) を最新版に更新

2006-01-12

情報セキュリティ早期警戒パートナーシップガイドライン (PDF:684KB) と JPCERT コーディネーションセンター製品開発者リスト登録規約 (PDF:148KB) を最新版に更新

2004-10-18

JEITA/JISA ガイドラインを関連資料などに追加

2004-08-26

初版公開

Topへ