届出いただいた脆弱性関連情報は、脆弱性関連情報の取扱いプロセスに則り、製品開発者との調整機関である一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)を通じて、製品開発者へ報告されます。まずこの方針に同意していただく必要があります。
詳しくは、情報セキュリティ早期警戒パートナーシップガイドラインをご覧ください。
この内容は、情報セキュリティ早期警戒パートナーシップガイドラインより、製品の脆弱性の発見者に関する項目を一部抜粋したものです。詳しくは上部にあるリンクより「情報セキュリティ早期警戒パートナーシップガイドライン」をご覧ください。 Ⅳ.ソフトウエア製品に係る脆弱性関連情報取扱 2.発見者の対応 1)発見者の範囲 Ⅳにおける発見者とは、製品開発者以外の者(研究者等)のみを指しているわけではありません。製品開発者自身であっても、自身のソフトウエア製品についての脆弱性関連情報であって、外部のソフトウエア製品に類似の脆弱性があると推定されるものを発見・取得した場合、発見者としての対応が推奨されます。 2)脆弱性関連情報の発見・取得 脆弱性関連情報の発見・取得に際しては、関連法令に触れることがないように留意してください。詳細は、付録3に示します。 3)脆弱性関連情報の届出 発見者は、発見した脆弱性関連情報をIPAに届け出てください。 ただし、発見者から直接の届出を受け入れる旨を承諾している製品開発者の場合、直接届け出ることも可能です。 その際、IPAと製品開発者の両方に届け出る場合には、関係者間の調整が混乱しないように、脆弱性の解消に向けた製品開発者との調整を自ら行うか、IPAに任せるかを届出の際に、明確にしてください。さらに、以降の調整をIPAに任せる場合は、製品開発者へその旨を通知するとともに、その通知を行った旨を届出に明記してください。 4)脆弱性関連情報の管理および開示 発見者は、IPAおよびJPCERT/CCが脆弱性情報を公表するまでの間は、脆弱性関連情報が第三者に漏れないように適切に管理してください(発見者に対する情報非開示依頼、以下「情報非開示依頼」という)。ただし、正当な理由があって脆弱性関連情報を開示する必要がある場合には、事前にIPAに相談してください。脆弱性関連情報の管理および開示に係わる法的問題に関しては、付録3に示します。 なお、起算日から1年間以上経過した届出については、発見者はIPAに対し、情報非開示依頼の取り下げを求めることができます。 5)届け出る情報の内容 発見者は、届け出る情報の中で以下の点を明示してください(詳細は、https://www.ipa.go.jp/security/vuln/ を参照してください)。 (ア) 氏名等の発見者を識別するための情報 (イ) 電子メールアドレス等の発見者の連絡先 (ウ) (ア)および(イ)の製品開発者への通知の可否 (エ) 製品開発者から直接連絡を受けることの可否 (オ) (ア)の公表の可否 (カ) 脆弱性関連情報に係るソフトウエア製品の名称 (キ) 脆弱性関連情報の内容(脆弱性関連情報を確認する環境、手順および結果) 可能であれば、脆弱性が存在する証拠 を一緒に提出してください。ただし、証拠の取得に際しては、関連法令に触れることがないように留意してください(付録3参照)。 (ク) 個人情報の取扱い方法(製品開発者への通知および直接の情報交換の可否、一般への公表の可否) ・発見者が望まない場合、IPAは、JPCERT/CCおよび製品開発者に対して、発見者を特定しうる情報を通知することはありません。 ・発見者が望む場合、IPAおよびJPCERT/CCは、脆弱性情報と製品開発者毎の脆弱性検証の結果、対策方法および対応状況を公表する際に発見者名を付記するとともに、製品開発者に対しても、対策方法の公表時に発見者名を付記することを推奨します。 (ケ) 他組織(製品開発者、他のセキュリティ関係機関等)への届出の状況等 6)製品開発者との直接の情報交換 発見者は、IPAに脆弱性関連情報を届け出た後、IPAおよびJPCERT/CCを介し、製品開発者の了解を得て、製品開発者と直接情報交換を行うことができます。 7)届出後の対応 発見者は、届出後、IPAに進捗状況の問い合わせを行うことができます。IPAは、本ガイドラインの3.に則って処理を行い、発見者の問い合わせに対し、適切に情報の開示を行います。発見者は、開示された情報をみだりに第三者に開示しないでください。
各項目には記入できる範囲で記入してください。記入する内容が特定できない場合や、記入することがない場合はその旨を記入してください。(不明な点がある場合、IPA から内容の確認をさせていただくことがあります。) IPAへのご要望がある場合には、その内容を明確に記入してください。
