届出いただいた脆弱性関連情報は、脆弱性関連情報の取扱いプロセスに則り、調整機関である一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)を通じて、製品開発者へ連絡されます。まずこの方針に同意していただく必要があります。
詳しくは、情報セキュリティ早期警戒パートナーシップガイドラインをご覧ください。
この内容は、情報セキュリティ早期警戒パートナーシップガイドラインより、製品の脆弱性の発見者に関する項目を一部抜粋したものです。詳しくは上部にあるリンクより「情報セキュリティ早期警戒パートナーシップガイドライン」をご覧ください。 IV. ソフトウエア製品に係る脆弱性関連情報取扱 2.発見者の対応 1)発見者の範囲 Ⅳにおける発見者とは、製品開発者以外の者(研究者等)のみを指しているわけではありません。製品開発者自身であっても、自身のソフトウエア製品についての脆弱性関連情報であって、脆弱性が外部のソフトウエア製品に含まれることが推定されるものを発見・取得した場合、発見者としての対応が推奨されます。 2)脆弱性関連情報の発見・取得 脆弱性関連情報の発見・取得に際しては、関連法令に触れることがないように留意してください。詳細は、付録3を参照してください。 3)脆弱性関連情報の届出 発見者は、発見した脆弱性関連情報をIPAに届け出てください。 ただし、発見者から直接の届出を受け入れる旨を承諾している製品開発者 の場合、直接届け出ることも可能です。 その際、IPAと製品開発者の両方に届け出る場合には、関係者間の調整が混乱しないように、脆弱性の解消に向けた製品開発者との調整を自ら行うか、IPAに任せるかを届出の際に、明確にしてください。さらに、以降の調整をIPAに任せる場合は、製品開発者へその旨を通知するとともに、その通知を行った旨を届出に明記してください。 4)脆弱性関連情報の管理および開示 発見者は、脆弱性関連情報を正当な理由がない限り第三者に開示しないでください(発見者に対する情報非開示依頼、以下「情報非開示依頼」という)。ただし、正当な理由があって脆弱性関連情報を開示する必要がある場合には、事前にIPAに相談してください。脆弱性関連情報の管理および開示に係る法的な問題に関しては、付録3を参照してください。 7)届出後の対応 発見者は、届出後、IPAに進捗状況の問い合わせを行うことができます。IPAは、本ガイドラインの3.に則って処理を行い、発見者の問い合わせに対し、適切に情報の開示を行います。発見者は、開示された情報をみだりに第三者に開示しないでください。
各項目には記入できる範囲で記入してください。記入する内容が特定できない場合や、記入することがない場合はその旨を記入してください。(不明な点がある場合、IPA から内容の確認をさせていただくことがあります。) IPAへのご要望がある場合には、その内容を明確に記入してください。
