トップページ サービスの詳細 セキュリティ情報 購読の申し込み
HotFix Report
/セキュリティ用語/

■ソフトウエア等脆弱性関連情報取扱基準
 2004年7月7日に経済産業省が公示したソフトウェアなどの脆弱性情報を必要な機関間で流通させるための取り扱い基準。

・経済産業省(ソフトウエア等脆弱性関連情報取扱基準を次のように定めたので、告示する。):[PDF]
http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf

 以前は、脆弱性の公開についてのルールがなかったため、脆弱性の発見者が直接企業に報告したり、独自に公開したりするなどしていた。そのため、場合によっては脆弱性の対策が秘密裏に行われたり、攻撃をあおる結果になってしまったりと問題が起きることもあった。そこで、ルールの制定が望まれたことから、経済産業省がIPAに委託し、官民の関係有識者による「情報システム等の脆弱性情報の取扱いに関する研究会」を開催し、その結果「ソフトウエア等脆弱性関連情報取扱基準」がまとめられた。

 この基準により、届けられる脆弱性関連情報の受け付け機関として情報処理推進機構(IPA)、脆弱性関連情報の製品開発者への連絡と公表に関わる調整機関としてJPCERTコーディネーションセンター(JPCERT/CC)が指定されている。ソフトウェアやWebサイトの脆弱性を発見した人は、IPAに対して「脆弱性関連情報の取扱い」ページの記載に従って届出を行うことになる。

・情報処理推進機構(脆弱性関連情報の取扱い):
http://www.ipa.go.jp/security/vuln/index.html

 届けられた脆弱性関連情報は、IPAが発見者の窓口となり、関係機関と連絡を取りながら、JPCERT/CCが製品開発者/Webサイト管理者との間で調整、対応状況の発表などを行うとしている。発見者は、IPAに対して「脆弱性関連情報に関する届出について」に従って脆弱性を届けることになる。

・情報処理推進機構(脆弱性関連情報の取扱いプロセス):
http://www.ipa.go.jp/security/vuln/report/process.html

・情報処理推進機構(脆弱性関連情報に関する届出について):
http://www.ipa.go.jp/security/vuln/report/index.html

 
 
Copyright (C) Digital Advantage Corp.
無断で複製・再配信などを行うことはできません。

HotFix Reportでは、細心の注意を払って情報提供を行っておりますが、本サービスにおける情報の正確性、最新性、適切性などについて、明示的又は黙示的な保証を行いません。また本サービスの停止や欠陥、それらに起因して発生する損失や損害について、一切責任を負いません。