Published: 2024-06-28 08:00
発見者に悪用など参考情報提出を求める ~「情報セキュリティ早期警戒パートナーシップガイドライン」改訂
独立行政法人情報処理推進機構(IPA)及び一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月18日、「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を発表した。
「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組み。IPA、JPCERT/CC、一般社団法人電子情報技術産業協会(JEITA)、一般社団法人 ソフトウェア協会(SAJ)、一般社団法人情報サービス産業協会(JISA)、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)では、脆弱性関連情報の適切な流通でウイルスや不正アクセスなどによる被害発生を抑制するために、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。
同ガイドラインでは、発見者、IPA及びJPCERT/CC、製品開発者、ウェブサイト運営者等の関係者に推奨する行為がとりまとめられており、脆弱性の発見者は脆弱性関連情報を届出する際に、製品開発者及びウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、同ガイドラインに則した対応をとることが求められている。
今回の改訂内容は下記の通り。
・悪用を示す情報に関する取扱いの整理
脆弱性の悪用を示す情報がある場合、製品開発者との協議のうえJVNで記載を実施
・公表判定委員会に係る手続の対象となる連絡不能案件の条件整理
検証ができない脆弱性等の取扱いについて整理
・優先情報提供に関する取扱いの規定改正の反映
IPAから実施する優先情報提供に関する規定の追加
上記規定の追加に伴う所要の修正
同ガイドラインでは、「脆弱性の悪用を示す情報に関する情報の取扱い等に関する検討結果の反映」として「発見者向けの規定」では、「(コ)その他、当該脆弱性情報に関する参考情報」の項目を追加し、当該脆弱性情報を取り扱う上で参考となる情報(製品の利用者数や重要インフラ事業者等の利用がある等の利用者の特性、当該脆弱性への攻撃の観測情報等)があれば、併せて提出するよう求めている。
| # | 言葉 | 意味 |
|---|---|---|
| 14 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 12 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 8 | 等 | など (等) : 1. et cetera; etc.; and the like; and so forth 2. or something |
| 8 | 関する | かんする (関する) : to concern; to be related |
| 5 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 5 | 関連 | かんれん (関連) : relation; connection; relevance |
| 4 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 4 | 取扱い | とりあつかい (取り扱い) : treatment; service; handling; management |
| 4 | 規定 | きてい (規定) : stipulation; prescription; provision; regulation; rule |
| 3 | 及び | および (及び) : and; as well as |
| 3 | 情報セキュリティ | じょうほうセキュリティ (情報セキュリティ) : information security |
| 3 | 早期 | そうき (早期) : early stage |
| 3 | 警戒 | けいかい (警戒) : vigilance; caution; alertness; precaution; being on guard |
| 3 | 告示 | こくじ (告示) : notice; bulletin |
| 3 | 協会 | きょうかい (協会) : association; society; organization; organisation |
| 3 | 発見者 | はっけんしゃ (発見者) : discoverer |
| 3 | 開発者 | かいはつしゃ (開発者) : developer |
| 3 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 3 | 示す | しめす (示す) : 1. to (take out and) show; to demonstrate; to tell; to exemplify; to make apparent 2. to point out (finger, clock hand, needle, etc.) |
| 3 | 整理 | せいり (整理) : 1. sorting; arrangement; organization; putting in order; adjustment; regulation 2. liquidation; settlement; consolidation; clearance (e.g. debt); paying off |
| 3 | 追加 | ついか (追加) : addition; supplement; appending; appendix |
| 3 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 2 | 改訂 | かいてい (改訂) : revision (of text); alteration; change |
| 2 | 経済産業省 | けいざいさんぎょうしょう (経済産業省) : Ministry of Economy, Trade and Industry; METI |
| 2 | 第 | だい (第) : prefix for forming ordinal numbers |
| 2 | 号 | ごう (号) : 1. number; edition; make; model; issue; part of that group 2. sobriquet; pen-name |
| 2 | 改正 | かいせい (改正) : revision; amendment; alteration |
| 2 | 適切 | てきせつ (適切) : appropriate; suitable; fitting; apt; proper; right; pertinent; relevant |
| 2 | 流通 | りゅうつう (流通) : 1. circulation (money, goods, etc.); distribution 2. circulation (air, water, etc.); ventilation; flow |
| 2 | 運営 | うんえい (運営) : management; administration; operation |
| 2 | 際 | きわ (際) : 1. edge; brink; verge; side 2. time; moment of |
| 2 | 求める | もとめる (求める) : 1. to want; to wish for 2. to request; to demand; to require; to ask for |
| 2 | 実施 | じっし (実施) : enforcement; implementation; putting into practice; carrying out; operation; working (e.g. working parameters); enactment |
| 2 | 優先 | ゆうせん (優先) : preference; priority; precedence |
| 2 | 情報提供 | じょうほうていきょう (情報提供) : provision of information |
| 2 | 反映 | はんえい (反映) : 1. reflection (light, image, situation, attitude, etc.); reflecting 2. influence; application (e.g. of an update) |
| 2 | 利用者 | りようしゃ (利用者) : user; end-user; consumer |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 取扱 | とりあつかい (取り扱い) : treatment; service; handling; management |
| 1 | 規程 | きてい (規程) : official regulations; inner rules |
| 1 | 平成 | へいせい (平成) : Heisei era (1989.1.8-2019.4.30) |
| 1 | 最終 | さいしゅう (最終) : last; final; closing |
| 1 | 令和 | れいわ (令和) : Reiwa era (May 1, 2019-) |
| 1 | 踏まえる | ふまえる (踏まえる) : 1. to be based on; to take into account; to build upon; to have origin in 2. to have one's feet firmly planted on; to plant oneself on |
| 1 | 国内 | こくない (国内) : internal; domestic |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 作る | つくる (作る) : 1. to make; to produce; to manufacture; to build; to construct 2. to prepare (food); to brew (alcohol) |
| 1 | 枠組み | わくぐみ (枠組み) : 1. frame 2. framework; outline |
| 1 | 電子情報技術産業協会 | でんしじょうほうぎじゅつさんぎょうきょうかい (電子情報技術産業協会) : Japan Electronics and Information Technology Industries Association (organization) |
| 1 | サービス産業 | サービスさんぎょう (サービス産業) : service industry; service sector |
| 1 | 特定非営利活動法人 | とくていひえいりかつどうほうじん (特定非営利活動法人) : specified nonprofit corporation |
| 1 | 日本 | にほん (日本) : Japan |
| 1 | 不正アクセス | ふせいアクセス (不正アクセス) : unauthorized (computer) access; hacking |
| 1 | 被害 | ひがい (被害) : (suffering) damage; injury; harm |
| 1 | 発生 | はっせい (発生) : 1. outbreak; spring forth; occurrence; incidence 2. generation (e.g. of power or heat); genesis; origin |
| 1 | 抑制 | よくせい (抑制) : control; restraint; suppression; constraint; curtailment; inhibition; check; curb |
| 1 | 策定 | さくてい (策定) : formulation (of a plan, policy, etc.); decision; settling on |
| 1 | 関係者 | かんけいしゃ (関係者) : person concerned; people involved (in an event); those concerned; staff |
| 1 | 推奨 | すいしょう (推奨) : recommendation; endorsement |
| 1 | 行為 | こうい (行為) : act; deed; conduct |
| 1 | とりまとめる | とりまとめる (取りまとめる) : 1. to collect; to gather; to compile; to assemble 2. to arrange; to settle |
| 1 | 届出 | とどけで (届け出) : report; notification |
| 1 | 通知 | つうち (通知) : notice; notification; report; posting |
| 1 | 受ける | うける (受ける) : 1. to receive; to get 2. to catch (e.g. a ball) |
| 1 | 則する | そくする (即する) : to conform to; to agree with; to be adapted to; to be based on |
| 1 | 対応 | たいおう (対応) : 1. correspondence (to); equivalence 2. suitability; coordination; matching; being appropriate (for) |
| 1 | 今回 | こんかい (今回) : this time; now |
| 1 | 内容 | ないよう (内容) : contents; content; substance; matter; detail; import |
| 1 | 下記 | かき (下記) : the following |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 協議 | きょうぎ (協議) : conference; consultation; discussion; negotiation |
| 1 | 記載 | きさい (記載) : mention (in a document); record; entry; statement; listing |
| 1 | 公表 | こうひょう (公表) : official announcement; proclamation |
| 1 | 判定 | はんてい (判定) : judgement; judgment; decision; adjudication; award; verdict; determination |
| 1 | 委員会 | いいんかい (委員会) : committee; commission; board; panel; committee meeting |
| 1 | 手続 | てつづき (手続き) : procedure; process; proceedings; formalities |
| 1 | 対象 | たいしょう (対象) : target; object (of worship, study, etc.); subject (of taxation, etc.) |
| 1 | 不能 | ふのう (不能) : 1. impossible; incapable (of doing); unable (to do) 2. incompetence; inability |
| 1 | 案件 | あんけん (案件) : 1. matter (to discuss); item (on the agenda); issue; topic 2. (court) case |
| 1 | 条件 | じょうけん (条件) : condition; term; requirement; qualification; prerequisite |
| 1 | 検証 | けんしょう (検証) : verification; inspection |
| 1 | 上記 | じょうき (上記) : above-mentioned; above-named; above |
| 1 | 伴う | ともなう (伴う) : 1. to accompany; to go hand in hand with; to be consequent upon 2. to be accompanied by; to bring with; to take with; to be involved in |
| 1 | 所要 | しょよう (所要) : required; needed; necessary |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |
| 1 | 検討 | けんとう (検討) : consideration; examination; investigation; study; scrutiny; discussion; analysis; review |
| 1 | 結果 | けっか (結果) : 1. result; consequence; outcome; effect 2. coming to fruition; bearing fruit |
| 1 | 向け | むけ (向け) : intended for ...; oriented towards ...; aimed at ... |
| 1 | 他 | ほか (他) : 1. other (place, thing, person); the rest 2. outside; beyond |
| 1 | 項目 | こうもく (項目) : 1. item; heading; category; clause 2. headword (in a dictionary, encyclopedia, etc.); entry |
| 1 | 取り扱う | とりあつかう (取り扱う) : 1. to handle; to operate (a machine, etc.); to use 2. to deal with (an issue); to manage |
| 1 | 参考 | さんこう (参考) : reference; consultation |
| 1 | 数 | しばしば (屡々) : often; again and again; frequently; repeatedly |
| 1 | 重要 | じゅうよう (重要) : important; momentous; essential; principal; major |
| 1 | 事業者 | じぎょうしゃ (事業者) : 1. business person 2. operator; carrier (telecommunications, transport, etc.) |
| 1 | 特性 | とくせい (特性) : special characteristic; special quality; trait; idiosyncrasy; peculiarity |
| 1 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 1 | 観測 | かんそく (観測) : observation; survey; measurement |
| 1 | 併せる | あわせる (合わせる) : 1. to match (rhythm, speed, etc.) 2. to join together; to unite; to combine; to add up |
| 1 | 提出 | ていしゅつ (提出) : presentation (of documents); submission (of an application, report, etc.); production (e.g. of evidence); introduction (e.g. of a bill); filing; turning in |