NPO日本ネットワークセキュリティ協会
HOME JNSAについて 活動内容 イベント・セミナー 会員向け情報 成果物 リンク

情報セキュリティ早期警戒パートナーシップガイドラインの改訂について

2007年6月11日

 独立行政法人情報処理推進機構(東京都文京区、理事長:藤原武平太、略称:IPA)および有限責任中間法人JPCERT コーディネーションセンター(東京都千代田区、代表理事:歌代和正、略称:JPCERT/CC)は、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居範久中央大学教授)での検討結果を踏まえ、情報セキュリティ早期警戒パートナーシップガイドラインの改訂を公開しました。

 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示第235 号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られた枠組みです。
 IPA、JPCERT/CC、社団法人電子情報技術産業協会(略称:JEITA)、社団法人コンピュータソフトウェア協会(略称:CSAJ)、社団法人情報サービス産業協会(略称:JISA)及び特定非営利活動法人日本ネットワークセキュリティ協会(略称:JNSA)は、脆弱性関連情報の適切な流通により、コンピュータウイルス、不正アクセスなどによる被害発生を抑制するために、関係者及び関係業界と協調して国内におけるソフトウェア等の脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」を策定、運用してきました。

 この結果、2004 年7 月の運用開始から2007 年3 月末までにソフトウェア製品及びウェブアプリケーションの脆弱性に関する届出が1,299 件に達し、制度としても着実に認知され、官民における情報セキュリティ対策に関する情報共有・連絡体制の強化が推進されてきました。
 その一方で、攻撃の兆候や被害の影響が見え難くIT 利用者や管理者が気付き難い脅威がさらに増加する傾向が強まったとの指摘もあり、IT 業界やユーザ企業をとりまく環境が変化する中、情報セキュリティ早期警戒パートナーシップが果たすべき役割は、これまで以上に重要になっています。

 そこで今年度の「情報システム等の脆弱性情報の取扱いに関する研究会」では、2年半にわたる運用実績を基盤として、さらなる一歩を踏み出すべく、このガイドラインに関して、日頃の運用から浮かび上がった問題点・課題を整理し、今後の対応についての方向性や引き続き検討すべき事項について、議論を重ねて参りました。

「情報システム等の脆弱性情報の取扱いに関する研究会報告書」
(URL: http://www.ipa.go.jp/security/fy18/reports/vuln_handling/index.html


 この検討結果を踏まえ、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。今回の改訂では、ソフトウェア製品開発者が行うべき脆弱性対策情報の望ましい公表手順や、重要インフラに対する優先的な情報提供を追記するなどの変更を行いました。製品開発者やウェブサイト運営者、脆弱性の発見者などが、脆弱性関連情報の取扱いに際し、本ガイドラインに則した対応をとられることを期待しています。

資料のダウンロード
独立行政法人情報処理推進機構(IPA)のページ
 http://www.ipa.go.jp/security/ciadr/partnership_guide.html


有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)のページ
 http://www.jpcert.or.jp/vh/#guideline


・情報セキュリティ早期警戒パートナーシップガイドライン
・ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル
 - 情報セキュリティ早期警戒パートナーシップガイドライン付録5 抜粋編-
・ガイドラインの変更点