脆弱性関連情報の届出

脆弱性関連情報の届出

IPA では、脆弱性関連情報の届出を受け付けています。
詳しくは 脆弱性関連情報に関する届出について (https://www.ipa.go.jp/ security/todokede/vuln/uketsuke.html)の「届出の取扱い方法」をご覧ください

ソフトウェア製品脆弱性関連情報の届出

国内で、多くの人々に利用されている等のソフトウェア製品が該当します。
プロトコルを実装しているものも含みます。

ウェブアプリケーション脆弱性関連情報の届出

主に日本国内からのアクセスが想定されるウェブサイトで稼動するウェブアプリケーションが該当します。例えば、主に日本語で記述されたウェブサイトや、URL のホスト名の最上位ドメインが「jp」ドメインのウェブサイト等を指します。

自社製品に関する脆弱性関連情報の届出

ソフトウェア製品の脆弱性で、製品開発者自身が発見し、利用者への周知のためにJVNで対策情報を公開したい場合が該当します。

※ ソフトウェアとウェブアプリケーションの分類が難しい場合
修正作業が事業者側のみで済む場合をウェブアプリケーション、製品利用者側の対応が必要な場合をソフトウェア製品として判断してください。

※インターネット上で公開されている、脆弱性を発見・検証するツールなどは、その動作をよく把握せずに使用すると、サーバに負荷や障害を発生させる可能性があるため、実行しないでください。

※ 脆弱性関連情報取扱いの仕組みは、関係者の善意により成り立つものであり、IPA では以下のことは実施できません。そのため、必ずしも期待する対応がとられるとは限らないことを、ご了承ください。

  • 届出者に対する、脆弱性関連情報の秘匿の強制
  • 製品開発者に対する、脆弱性への対策の強制
  • ウェブサイト運営者に対する、脆弱性の修正の強制