届出いただいた脆弱性関連情報は、脆弱性関連情報の取扱いプロセスに則り、ウェブ運営者へ報告されます。まずこの方針に同意していただく必要があります。
詳しくは、情報セキュリティ早期警戒パートナーシップガイドラインをご覧ください。
この内容は、情報セキュリティ早期警戒パートナーシップガイドラインより、ウェブアプリケーションの脆弱性の発見者に関する項目を一部抜粋したものです。詳しくは上部にあるリンクより「情報セキュリティ早期警戒パートナーシップガイドライン」をご覧ください。 Ⅴ. ウェブアプリケーションに係る脆弱性関連情報取扱 2.発見者の対応 1)脆弱性関連情報の発見・取得 脆弱性関連情報の発見・取得に際しては、関連法令に触れることが無いように留意してください。法的な論点に関しては、付録3を参照してください。 2)脆弱性関連情報の届出 発見者は、発見した脆弱性関連情報をIPAに届け出てください。 なお、外部からの連絡窓口を設置しているウェブサイト運営者については、直接届出を行うことも可能です。ウェブサイト運営者に直接届け出たが、脆弱性の解消に向けたウェブサイト運営者との調整が難航した場合には、IPAに連絡してください。 3)脆弱性関連情報の管理および開示 発見者は、脆弱性関連情報を正当な理由がない限り第三者に開示しないでください。ただし、正当な理由があって脆弱性関連情報を開示する場合には、事前にIPAに相談してください。発見者は、脆弱性が修正されるまでの間は、脆弱性関連情報が第三者に漏えいしないように適切に管理してください(発見者に対する情報非開示依頼、以下「情報非開示依頼」という)。脆弱性関連情報の管理および開示に係る法的な問題に関しては、付録3を参照してください。 4)届け出る情報の内容 発見者は、届け出る情報の中で以下の点を明示してください(詳細は、https://www.ipa.go.jp/security/todokede/vuln/uketsuke.html を参照)。 (ア) 氏名等の発見者を識別するための情報 (イ) 電子メールアドレス等の発見者の連絡先 (ウ) (ア)および(イ)のウェブサイト運営者への通知の可否 (エ) ウェブサイト運営者から直接連絡を受けることの可否 (オ) 脆弱性関連情報に係るウェブアプリケーションが稼動しているウェブサイトのURL (カ) 脆弱性関連情報の内容(脆弱性関連情報を確認する環境と、手順および結果) 可能であれば、脆弱性が存在する証拠を一緒に提出してください。ただし、証拠の取得に際しては、関連法令に触れることがないように留意してください(付録3を参照)。 (キ) 個人情報の取扱い方法(ウェブサイト運営者との直接の情報交換の可否、ウェブサイト運営者への通知の可否) 発見者が望まない場合、IPAは、ウェブサイト運営者へ発見者を特定しうる情報を連絡することはありません。 (ク) 他の組織(製品開発者、他のセキュリティ関係機関等)への届出状況等 5)ウェブサイト運営者との直接の情報交換 発見者は、IPAに脆弱性関連情報を届け出た後、IPAと協議の上、ウェブサイト運営者の了解を得て、ウェブサイト運営者と直接情報交換を行うことができます。 6)届出後の対応 発見者は、届出後、IPAに進捗状況の問い合わせを行うことができます。IPAは、本ガイドラインの3.に則って処理を行い、発見者から問い合わせがあった場合、適切な情報の開示を行います。発見者は、開示された情報をみだりに第三者に開示しないでください。
各項目には記入できる範囲で記入してください。記入する内容が特定できない場合や、記入することがない場合はその旨を記入してください。(不明な点がある場合、IPA から内容の確認をさせていただくことがあります。) IPAへのご要望がある場合には、その内容を明確に記入してください。