届出いただいた脆弱性関連情報は、脆弱性関連情報の取扱いプロセスに則り、調整機関である一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)を通じて、製品開発者へ連絡されます。まずこの方針に同意していただく必要があります。
詳しくは、情報セキュリティ早期警戒パートナーシップガイドラインをご覧ください。
この内容は、情報セキュリティ早期警戒パートナーシップガイドラインより、製品の脆弱性の発見者に関する項目を一部抜粋したものです。詳しくは上部にあるリンクより「情報セキュリティ早期警戒パートナーシップガイドライン」をご覧ください。 IV. ソフトウエア製品に係る脆弱性関連情報取扱 2.発見者の対応 1) 発見者の範囲IVにおける発見者とは、製品開発者以外の者(研究者など)のみを指しているわけではありません。製品開発者自身であっても、自社のソフトウエア製品についての脆弱性関連情報であって、他社のソフトウエア製品に類似の脆弱性があると推定されるものを発見・取得した場合、発見者としての対応が推奨されます。 2) 脆弱性関連情報の発見・取得 脆弱性関連情報の発見・取得に際しては、関連法令に触れることがないように留意してください。詳細は、付録1に示します。 3) 脆弱性関連情報の届出 発見者は、発見した脆弱性関連情報をIPA に届け出ることができます。脆弱性関連情報に関係する製品開発者に対し、同一情報の届出を行う必要はありませんが、届け出ること自体は問題ありません。 4) 脆弱性関連情報の管理および開示 発見者は、IPA とJPCERC/CC が脆弱性情報を公表するまでの間は、脆弱性関連情報が第三者に漏れないように適切に管理してください。ただし、止むを得ず脆弱性関連情報を開示する場合には、事前にIPA に相談してください。脆弱性関連情報の管理および開示に係わる法的問題に関しては、付録1に示します。 7) 届出後の対応 発見者は、届出後、IPA に進捗状況の問い合わせを行うことができます。IPAは、本ガイドラインの3.に則って処理を行い、発見者の問い合わせに対し、適切に情報の開示を行います。発見者は、開示された情報をみだりに第三者に開示しないでください。
各項目には記入できる範囲で記入してください。記入する内容が特定できない場合や、記入することがない場合はその旨を記入してください。(不明な点がある場合、IPA から内容の確認をさせていただくことがあります。) IPAへのご要望がある場合には、その内容を明確に記入してください。
