情報セキュリティ早期警戒パートナーシップガイドライン2015年版

Transcription

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :36:02 +09'00' 情報セキュリティ早期警戒 パートナーシップガイドライン 2015 年 5 月 独立行政法人 情報処理推進機構 一般社団法人 JPCERT コーディネーションセンター 一般社団法人 電子情報技術産業協会 一般社団法人 コンピュータソフトウェア協会 一般社団法人 情報サービス産業協会 特定非営利活動法人 日本ネットワークセキュリティ協会

2 目 次 Ⅰ.はじめに... 1 Ⅱ. 用 語 の 定 義 と 前 提... 2 Ⅲ. 本 ガイドラインの 適 用 の 範 囲... 5 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 概 要 発 見 者 の 対 応 IPA( 受 付 機 関 )の 対 応 JPCERT/CC( 調 整 機 関 )の 対 応 製 品 開 発 者 の 対 応 その 他 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 概 要 発 見 者 の 対 応 IPA( 受 付 機 関 )の 対 応 ウェブサイト 運 営 者 の 対 応 付 録 1 用 語 の 解 説 付 録 2 脆 弱 性 情 報 取 扱 いのフロー 付 録 3 法 的 な 論 点 について 発 見 者 が 心 得 ておくべき 法 的 な 論 点 製 品 開 発 者 が 心 得 ておくべき 法 的 な 論 点 ウェブサイト 運 営 者 が 心 得 ておくべき 法 的 な 論 点 付 録 4 ソフトウエア 製 品 における 連 絡 不 能 案 件 の 取 扱 いについて 連 絡 不 能 開 発 者 一 覧 の 公 表 対 象 製 品 情 報 の 公 表 と 関 係 者 へのお 願 い 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 付 録 6 本 ガイドラインの 別 冊 関 連 資 料 一 覧... 50

3 Ⅰ.はじめに Ⅰ.はじめに 〇 本 ガイドラインの 目 的 近 年 日 本 国 内 においてソフトウエアやウェブアプリケーションの 脆 弱 性 が 発 見 されることが 増 えており これらの 脆 弱 性 を 悪 用 した 不 正 アクセス 行 為 やコン ピュータウイルスの 増 加 により 企 業 活 動 が 停 止 したり 情 報 資 産 が 滅 失 したり 個 人 情 報 が 漏 洩 したりといった 重 大 な 被 害 が 生 じています そこで 脆 弱 性 関 連 情 報 が 発 見 された 場 合 に それらをどのように 取 り 扱 うべきかを 示 した 経 済 産 業 省 告 示 ソフトウエア 等 脆 弱 性 関 連 情 報 取 扱 基 準 が 制 定 されました 本 ガイドラインは 上 記 告 示 をふまえ 脆 弱 性 関 連 情 報 の 適 切 な 流 通 により コンピュータ 不 正 アクセス コンピュータウイルス 等 による 被 害 発 生 を 抑 制 する ために 関 係 者 に 推 奨 する 行 為 をとりまとめたものです 具 体 的 には 独 立 行 政 法 人 情 報 処 理 推 進 機 構 ( 以 下 IPA とする)が 受 付 機 関 一 般 社 団 法 人 JPCERT コーディネーションセンター( 以 下 JPCERT/CC とする)が 調 整 機 関 という 役 割 を 担 い 発 見 者 製 品 開 発 者 ウェブサイト 運 営 者 と 協 力 をしながら 脆 弱 性 関 連 情 報 に 対 処 するための その 発 見 から 公 表 に 至 るプロセスを 詳 述 しています 関 係 者 の 方 々は 脆 弱 性 関 連 情 報 の 取 扱 いに 際 し 本 ガイドラインを 基 本 とし て 御 対 応 くださいますようお 願 い 申 し 上 げます 〇 本 ガイドラインの 想 定 する 読 者 本 ガイドラインの 想 定 する 読 者 と その 方 に 特 に 参 照 いただきたい 箇 所 を 以 下 に 示 します 1) ソフトウエアやウェブアプリケーションに 脆 弱 性 を 発 見 した 方 脆 弱 性 を 発 見 された 際 は IPA への 届 出 をご 検 討 ください ソフトウエアの 脆 弱 性 を 発 見 された 方 はⅣ.2.(7 頁 )を ウェブアプリケーションの 脆 弱 性 を 発 見 された 方 はV.2.(21 頁 )をご 参 照 ください 2) 自 組 織 が 扱 うソフトウエア 製 品 の 脆 弱 性 について 連 絡 を 受 けた 方 JPCERT/CC からソフトウエア 製 品 の 脆 弱 性 について 製 品 開 発 者 に 連 絡 する 場 合 があります ソフトウエア 製 品 の 脆 弱 性 関 連 情 報 の 取 扱 いのプロセスはⅣ.(6 頁 ) に 記 しています 製 品 開 発 者 による 対 応 はⅣ.5.(17 頁 )をご 参 照 ください 3) 自 組 織 のウェブアプリケーションの 脆 弱 性 について 連 絡 を 受 けた 方 IPA からウェブアプリケーションの 脆 弱 性 についてウェブサイト 運 営 者 に 連 絡 する 場 合 があります ウェブアプリケーションの 脆 弱 性 関 連 情 報 の 取 扱 いのプロ セスはⅤ.(20 頁 )に 記 しています ウェブサイト 運 営 者 による 対 応 はⅤ. 4.( 24 頁 )をご 参 照 ください 1

4 Ⅱ. 用 語 の 定 義 と 前 提 Ⅱ. 用 語 の 定 義 と 前 提 本 ガイドラインに 用 いられる 用 語 の 定 義 は 以 下 の 通 りです 1. 脆 弱 性 の 定 義 脆 弱 性 とは ソフトウエア 製 品 やウェブアプリケーション 等 において コンピ ュータ 不 正 アクセスやコンピュータウイルス 等 の 攻 撃 により その 機 能 や 性 能 を 損 なう 原 因 となり 得 るセキュリティ 上 の 問 題 箇 所 です なお ウェブアプリケーションにおいて ウェブサイト 運 営 者 の 不 適 切 な 運 用 によって 個 人 情 報 等 が 適 切 なアクセス 制 御 の 下 に 管 理 されておらずセキュリテ ィが 維 持 できなくなっている 状 態 も 含 みます (ウェブサイトの 不 適 切 な 運 用 に 関 しては 付 録 1に 例 を 示 します ) 2. 脆 弱 性 関 連 情 報 の 種 類 脆 弱 性 関 連 情 報 とは 脆 弱 性 に 関 する 情 報 であり 次 のいずれかに 該 当 するも のです 1) 脆 弱 性 情 報 脆 弱 性 の 性 質 及 び 特 徴 を 示 す 情 報 のことです 2) 検 証 方 法 脆 弱 性 が 存 在 することを 調 べるための 方 法 です 例 えば 特 定 の 入 力 パターン により 脆 弱 性 の 有 無 を 検 証 するツール 等 が 該 当 します 3) 攻 撃 方 法 脆 弱 性 を 悪 用 するプログラムやコマンド データおよびそれらの 使 い 方 です 例 えば エクスプロイトコード( 付 録 1にて 述 べます)や コンピュータウイ ルス 等 が 該 当 します 3. 対 策 方 法 対 策 方 法 は 脆 弱 性 から 生 じる 問 題 を 回 避 するまたは 解 決 を 図 る 方 法 のことで あり 回 避 方 法 と 修 正 方 法 から 成 ります ただし 本 ガイドラインで 対 策 方 法 との 記 述 がある 場 合 回 避 方 法 または 修 正 方 法 の 意 味 となります 1) 回 避 方 法 脆 弱 性 が 原 因 となって 生 じる 被 害 を 回 避 するための 方 法 ( 修 正 方 法 は 含 まない) であり ワークアラウンド( 付 録 1にて 述 べます)と 呼 ばれます 2) 修 正 方 法 脆 弱 性 そのものを 修 正 する 方 法 であり パッチ( 付 録 1にて 述 べます) 等 と 呼 ばれます 4. 対 応 状 況 JPCERT/CC から 脆 弱 性 関 連 情 報 の 通 知 を 受 けた 製 品 開 発 者 が 報 告 する 脆 弱 性 に 関 する 対 策 方 法 取 り 組 みの 状 況 等 を 含 む 対 応 状 況 のことです 2

5 Ⅱ. 用 語 の 定 義 と 前 提 5.ソフトウエア 製 品 ソフトウエア 自 体 又 はソフトウエアを 組 み 込 んだハードウエア 等 の 汎 用 性 を 有 する 製 品 のことです オープンソースソフトウエアのように 技 術 情 報 を 統 括 する 企 業 が 一 社 に 定 まらないもの 複 数 の 者 又 は 団 体 によりその 改 善 が 行 われるもの も 含 みます 具 体 例 は 付 録 1に 示 します 6.オープンソースソフトウエア(OSS) ソースコードが 公 開 されていて 誰 でも 無 償 で 入 手 利 用 することができ さ らに 改 良 再 配 布 ができるライセンスをもつソフトウエアのことです 7.ウェブアプリケーション インターネットのウェブサイト 等 で 公 衆 に 向 けて 提 供 するサービスを 構 成 す るシステムで そのソフトウエアがサイトごとに 個 別 に 設 計 構 築 され 一 般 に は 配 布 されていないもののことを 指 します 8. 発 見 者 発 見 者 とは 脆 弱 性 関 連 情 報 を 発 見 または 取 得 した 人 を 含 みます 例 えば ソ フトウエアの 脆 弱 性 を 発 見 した 人 や インターネット 上 で 脆 弱 性 関 連 情 報 を 入 手 した 人 等 が 当 てはまります ソフトウエアの 脆 弱 性 を 発 見 した 人 のみを 対 象 とし ているわけではありません 9. 製 品 開 発 者 製 品 開 発 者 とは ソフトウエアを 開 発 した 企 業 または 個 人 です それが 外 国 の 会 社 である 場 合 には そのソフトウエア 製 品 の 国 内 での 主 たる 販 売 権 を 有 する 会 社 ( 外 国 企 業 の 日 本 法 人 や 総 代 理 店 等 )を 含 みます 10. 脆 弱 性 検 証 脆 弱 性 検 証 とは 製 品 開 発 者 が JPCERT/CC から 脆 弱 性 関 連 情 報 を 受 け 取 った 際 に 該 当 するソフトウエア 製 品 の 有 無 およびその 新 規 性 の 有 無 を 検 証 すること です 11.ウェブサイト 運 営 者 ウェブサイト 運 営 者 とは 脆 弱 性 が 発 見 されたウェブアプリケーションを 運 営 する 主 体 です 当 該 ウェブアプリケーションが 企 業 や 組 織 によって 運 営 されてい るのであれば その 企 業 や 組 織 が 該 当 します 個 人 によって 運 営 されているので あれば その 個 人 が 該 当 します ウェブサイト 運 営 者 の 例 は 付 録 1に 示 します 12. 製 品 利 用 者 製 品 利 用 者 とは ソフトウエア 製 品 のライセンス 許 諾 ( 明 示 的 でないケースを 含 む)を 受 けてソフトウエア 製 品 を 導 入 管 理 する 企 業 または 個 人 です 一 般 に ソフトウエア 製 品 の 脆 弱 性 対 策 を 適 用 する 立 場 にあります 3

6 Ⅱ. 用 語 の 定 義 と 前 提 13.システム 構 築 事 業 者 ソフトウエア 製 品 を 入 手 し それを 使 ってシステムを 構 築 し 利 用 者 に 提 供 す る 企 業 または 個 人 です システムの 保 守 運 用 のサービスを 提 供 することもあり ます 4

7 Ⅲ. 本 ガイドラインの 適 用 の 範 囲 Ⅲ. 本 ガイドラインの 適 用 の 範 囲 本 ガイドラインの 適 用 の 範 囲 は 脆 弱 性 により 不 特 定 多 数 の 人 々に 被 害 を 及 ぼ すもので 以 下 に 挙 げるものを 想 定 しています ソフトウエア 製 品 の 場 合 : 国 内 で 利 用 されているソフトウエア 製 品 国 内 で 多 くの 人 々に 利 用 されている 等 のソフトウエア 製 品 が 該 当 します 暗 号 アルゴリズム や プロトコル を 実 装 しているものも 含 みますが 一 般 的 な 暗 号 アルゴリズム や プロトコル 等 の 仕 様 そのものの 脆 弱 性 は 含 みま せん (プロトコルの 実 装 に 係 わる 脆 弱 性 については 付 録 1に 示 します ) ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 の 取 扱 いは Ⅳで 記 述 します ウェブアプリケーションの 場 合 : 主 に 日 本 国 内 からのアクセスが 想 定 されるサイトで 稼 動 するウェブアプリケ ーション 例 えば 主 に 日 本 語 で 記 述 されたウェブサイトや URL が jp ドメインのウ ェブサイト 等 を 指 します ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 の 取 扱 いは Ⅴで 記 述 します なお 上 記 の 分 類 が 難 しい 場 合 には 修 正 作 業 が 事 業 者 側 のみで 済 む 場 合 をウェ ブアプリケーション 製 品 利 用 者 側 の 対 応 が 必 要 な 場 合 をソフトウエア 製 品 とし て 判 断 することを 基 本 とします 5

8 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 1. 概 要 ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 の 概 要 は 図 1の 通 りです 発 見 者 1 発 見 者 は IPAに 脆 弱 性 関 連 情 報 を 届 け 出 る IPA 9 IPAは 定 期 的 に 統 計 情 報 を 公 表 する 2 IPAは JPCERT/CCに 脆 弱 性 関 連 情 報 を 通 知 する 3 JPCERT/CCは 製 品 開 発 者 に 脆 弱 性 関 連 情 報 を 連 絡 する JPCERT/CC 製 品 開 発 者 製 品 開 発 者 8 IPAとJPCERT/CCは 脆 弱 性 情 報 脆 弱 性 検 証 の 結 果 および 対 策 状 況 を 公 表 する 5 JPCERT/CCは 製 品 開 発 者 と 調 整 を 行 う 製 品 利 用 者 一 般 7 製 品 開 発 者 は 製 品 利 用 者 に 生 じるリスクを 低 減 できる と 判 断 した 場 合 JPCERT/CCと 調 整 した 上 で 公 表 日 以 前 に 製 品 利 用 者 に 脆 弱 性 検 証 の 結 果 及 び 対 応 状 況 について 通 知 することができる 4 製 品 開 発 者 は 脆 弱 性 検 証 を 行 う 6 製 品 開 発 者 は 対 策 方 法 を 作 成 する 製 品 開 発 者 が 自 社 製 品 のすべての 製 品 利 用 者 に 脆 弱 性 検 証 の 結 果 や 対 応 状 況 につ いて 連 絡 することが 確 認 できる 場 合 には 公 表 と 同 等 の 周 知 を 実 施 するものとみなす 図 1 ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 の 概 要 (ソフトウエア 製 品 における 脆 弱 性 情 報 取 扱 いの 全 体 フローは 付 録 2に 示 しま す ) 1) 発 見 者 は IPA に 脆 弱 性 関 連 情 報 を 届 け 出 る 2) IPA は 受 け 取 った 脆 弱 性 関 連 情 報 を 原 則 として JPCERT/CC に 通 知 する 3) JPCERT/CC は 脆 弱 性 関 連 情 報 に 関 係 する 製 品 開 発 者 を 特 定 し 製 品 開 発 者 に 脆 弱 性 関 連 情 報 を 通 知 する 4) 製 品 開 発 者 は 脆 弱 性 検 証 を 行 い その 結 果 を JPCERT/CC に 報 告 する 5) JPCERT/CC と 製 品 開 発 者 は 対 策 方 法 の 作 成 や 海 外 の 調 整 機 関 との 調 整 に 要 す る 期 間 当 該 脆 弱 性 情 報 流 出 に 係 わるリスクを 考 慮 しつつ 脆 弱 性 情 報 の 公 表 に 関 するスケジュールを 調 整 し 決 定 する 6) 製 品 開 発 者 は 脆 弱 性 情 報 の 公 表 日 までに 対 策 方 法 を 作 成 するよう 努 める 7) 製 品 開 発 者 は 製 品 利 用 者 に 生 じるリスクを 低 減 できると 判 断 した 場 合 6

9 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 JPCERT/CC と 調 整 した 上 で 公 表 日 以 前 に 製 品 利 用 者 に 脆 弱 性 検 証 の 結 果 及 び 対 応 状 況 について 通 知 することができる 8) IPA および JPCERT/CC は 脆 弱 性 情 報 と 3)にて JPCERT/CC から 連 絡 した 全 て の 製 品 開 発 者 の 脆 弱 性 検 証 の 結 果 および 対 応 状 況 を 公 表 する 9) IPA は 統 計 情 報 を 少 なくとも 一 年 に 一 度 は 公 表 する 2. 発 見 者 の 対 応 1) 発 見 者 の 範 囲 Ⅳにおける 発 見 者 とは 製 品 開 発 者 以 外 の 者 ( 研 究 者 等 )のみを 指 しているわ けではありません 製 品 開 発 者 自 身 であっても 自 社 のソフトウエア 製 品 につ いての 脆 弱 性 関 連 情 報 であって 他 社 のソフトウエア 製 品 に 類 似 の 脆 弱 性 があ ると 推 定 されるものを 発 見 取 得 した 場 合 発 見 者 としての 対 応 が 推 奨 されま す 2) 脆 弱 性 関 連 情 報 の 発 見 取 得 脆 弱 性 関 連 情 報 の 発 見 取 得 に 際 しては 関 連 法 令 に 触 れることがないように 留 意 してください 詳 細 は 付 録 3に 示 します 3) 脆 弱 性 関 連 情 報 の 届 出 発 見 者 は 発 見 した 脆 弱 性 関 連 情 報 を IPA に 届 け 出 ることができます 脆 弱 性 関 連 情 報 に 関 係 する 製 品 開 発 者 に 対 し 同 一 情 報 の 届 出 を 行 う 必 要 はありませ んが 届 け 出 ること 自 体 は 問 題 ありません 4) 脆 弱 性 関 連 情 報 の 管 理 および 開 示 発 見 者 は IPA および JPCERT/CC が 脆 弱 性 情 報 を 公 表 するまでの 間 は 脆 弱 性 関 連 情 報 が 第 三 者 に 漏 れないように 適 切 に 管 理 してください( 発 見 者 に 対 する 情 報 非 開 示 依 頼 以 下 情 報 非 開 示 依 頼 という) ただし 止 むを 得 ず 脆 弱 性 関 連 情 報 を 開 示 する 場 合 には 事 前 に IPA に 相 談 してください 脆 弱 性 関 連 情 報 の 管 理 および 開 示 に 係 わる 法 的 問 題 に 関 しては 付 録 3に 示 します なお 起 算 日 1 から 1 年 間 以 上 経 過 した 届 出 については 発 見 者 は IPA に 対 し 情 報 非 開 示 依 頼 の 取 り 下 げを 求 めることができます 5) 届 け 出 る 情 報 の 内 容 発 見 者 は 届 け 出 る 情 報 の 中 で 以 下 の 点 を 明 示 してください( 詳 細 は 1 本 ガイドラインのⅣ.4.2)(14 頁 )において 規 定 された 連 絡 を 最 初 に 試 みた 日 を 起 算 日 と します 7

10 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 を 参 照 してください) 発 見 者 の 氏 名 連 絡 先 脆 弱 性 関 連 情 報 に 関 連 する 製 品 の 具 体 的 な 名 称 脆 弱 性 関 連 情 報 の 内 容 脆 弱 性 関 連 情 報 を 確 認 する 環 境 と 手 順 個 人 情 報 の 取 扱 い 方 法 ( 製 品 開 発 者 への 通 知 および 直 接 の 情 報 交 換 の 可 否 一 般 への 公 表 の 可 否 ) 他 組 織 ( 製 品 開 発 者 他 のセキュリティ 関 係 機 関 等 )への 届 出 の 状 況 対 策 情 報 の 公 表 の 連 絡 の 必 要 性 等 発 見 者 が 望 まない 場 合 IPA は JPCERT/CC および 製 品 開 発 者 に 対 して 発 見 者 を 特 定 しうる 情 報 を 通 知 することはありません 発 見 者 が 望 む 場 合 IPA および JPCERT/CC は 脆 弱 性 情 報 と 製 品 開 発 者 毎 の 脆 弱 性 検 証 の 結 果 および 対 応 状 況 を 公 表 する 際 に 発 見 者 名 を 付 記 するとともに 製 品 開 発 者 に 対 しても 対 策 方 法 の 公 表 時 に 発 見 者 名 を 付 記 することを 推 奨 し ます 6) 製 品 開 発 者 との 直 接 の 情 報 交 換 発 見 者 は IPA に 脆 弱 性 関 連 情 報 を 届 け 出 た 後 IPA および JPCERT/CC を 介 し 製 品 開 発 者 の 了 解 を 得 て 製 品 開 発 者 と 直 接 情 報 交 換 を 行 うことができます 7) 届 出 後 の 対 応 発 見 者 は 届 出 後 IPA に 進 捗 状 況 の 問 い 合 わせを 行 うことができます IPA は 本 ガイドラインの3.に 則 って 処 理 を 行 い 発 見 者 の 問 い 合 わせに 対 し 適 切 に 情 報 の 開 示 を 行 います 発 見 者 は 開 示 された 情 報 をみだりに 第 三 者 に 開 示 しないでください 3.IPA( 受 付 機 関 )の 対 応 (1) 脆 弱 性 関 連 情 報 の 届 出 受 付 と 取 扱 いについて 1) 脆 弱 性 関 連 情 報 の 受 付 脆 弱 性 関 連 情 報 の 受 付 に 関 し 詳 細 は 以 下 の URL を 御 参 照 ください 届 出 は 24 時 間 受 け 付 けますが 受 け 付 けた 情 報 について 2) 以 降 の 作 業 を 行 うの は 原 則 営 業 日 のみとなります 2) 届 出 の 受 理 IPA は 以 下 の 条 件 が 満 たされていると 判 断 した 時 その 時 点 で 届 出 を 受 理 し 8

11 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 発 見 者 に 連 絡 します (ア) 原 則 として 上 記 2.5)の 項 目 が 十 分 に 記 述 されていること (イ) 発 見 者 への 連 絡 が 可 能 であることを 確 認 できること (ウ) 脆 弱 性 関 連 情 報 であること( 一 般 のバグ 情 報 ではないこと) (エ) 既 に 報 告 されている 脆 弱 性 関 連 情 報 ではないこと なお IPA は これらの 条 件 により 届 出 の 受 理 または 不 受 理 を 判 断 し その 理 由 とともに 発 見 者 に 連 絡 します なお 発 見 者 に 届 出 の 受 理 を 連 絡 した 日 が IPA および JPCERT/CC が 脆 弱 性 関 連 情 報 の 取 扱 いを 開 始 した 日 ( 受 理 日 )となりま す 3) 違 法 な 手 段 で 入 手 された 脆 弱 性 関 連 情 報 への 対 応 IPA は 脆 弱 性 関 連 情 報 の 入 手 方 法 に 関 して 関 知 しません ただし 違 法 な 手 段 で 入 手 された 脆 弱 性 関 連 情 報 であることが 明 白 な 場 合 処 理 を 取 りやめること があります 4) JPCERT/CC への 連 絡 IPA は 上 記 2) 3)における 対 応 の 是 非 の 判 断 の 結 果 対 応 することが 妥 当 と の 判 断 を 下 した 脆 弱 性 関 連 情 報 について 速 やかに JPCERT/CC に 通 知 します 5) 脆 弱 性 関 連 情 報 の 取 扱 い IPA は 脆 弱 性 関 連 情 報 に 関 して それに 関 する 脆 弱 性 情 報 が 一 般 に 公 表 される までの 間 は 発 見 者 JPCERT/CC 当 該 製 品 開 発 者 以 外 の 第 三 者 に 提 供 しないよ うに 適 切 に 管 理 します ただし 脆 弱 性 が 再 現 する 状 況 を 特 定 できない 等 止 む を 得 ない 理 由 がある 場 合 IPA は 秘 密 保 持 契 約 を 結 んだ 上 で 国 立 研 究 開 発 法 人 産 業 技 術 総 合 研 究 所 や 技 術 研 究 組 合 制 御 システムセキュリティセンター 等 の 外 部 機 関 に 脆 弱 性 関 連 情 報 に 関 する 技 術 的 分 析 を 依 頼 することや 関 係 者 の 許 諾 を 得 た 上 で JPCERT/CC と 連 携 し 脆 弱 性 の 再 現 に 必 要 な 情 報 を 製 品 開 発 者 に 提 供 することがあります 6) 発 見 者 に 係 わる 情 報 の 取 扱 い IPA は 氏 名 連 絡 先 を 含 む 発 見 者 に 係 わる 情 報 を 発 見 者 が 望 む 場 合 以 外 には JPCERT/CC と 製 品 開 発 者 および 第 三 者 に 開 示 しないよう 適 切 に 管 理 します 7) 脆 弱 性 関 連 情 報 の 受 理 後 の 対 応 IPA は JPCERT/CC に 通 知 した 脆 弱 性 関 連 情 報 に 関 して 以 下 のいずれかに 該 当 する 場 合 発 見 者 に 連 絡 するとともに 処 理 を 取 りやめることがあります (ア)JPCERT/CC から 既 知 の 脆 弱 性 であるまたは 脆 弱 性 ではない 等 の 理 由 によ り 脆 弱 性 情 報 の 公 表 の 中 止 の 連 絡 を 受 けた 場 合 (イ) 公 表 判 定 委 員 会 が 当 該 脆 弱 性 情 報 を 公 表 しないと 判 定 した 場 合 9

12 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 (ウ) 製 品 開 発 者 がすべての 製 品 利 用 者 に 通 知 する 場 合 (システム 構 築 事 業 者 を 介 して 通 知 するケースを 含 む) 8) 発 見 者 との 情 報 交 換 IPA は 届 出 を 受 理 した 後 発 見 者 に 問 い 合 わせをすることがあります また 発 見 者 から 問 い 合 わせがあった 場 合 JPCERT/CC と 相 談 の 上 適 切 な 情 報 の 開 示 を 行 います なお 発 見 者 との 情 報 交 換 に 際 しては 第 三 者 に 情 報 が 漏 洩 しな いよう 留 意 します 9) 脆 弱 性 関 連 情 報 の 影 響 の 分 析 IPA は JPCERT/CC と 連 携 して 届 け 出 られた 脆 弱 性 関 連 情 報 が 他 のソフトウエ アやシステムに 及 ぼす 影 響 の 分 析 を 行 うよう 努 めます 影 響 の 分 析 結 果 につい ては JPCERT/CC を 介 して 製 品 開 発 者 に 連 絡 します 10) 対 応 状 況 の 共 有 IPA は JPCERT/CC を 介 して 連 絡 した 脆 弱 性 関 連 情 報 に 係 わる 製 品 開 発 者 の 対 応 状 況 を JPCERT/CC と 共 有 します 11) 情 報 非 開 示 依 頼 の 取 下 げ IPA は 起 算 日 から 1 年 間 以 上 経 過 した 届 出 について 発 見 者 から 情 報 非 開 示 依 頼 の 取 下 げが 求 められた 場 合 これを 取 り 下 げます そのとき 製 品 開 発 者 が 正 当 な 理 由 により 対 応 に 時 間 を 要 する 場 合 IPA はその 状 況 を 発 見 者 に 適 切 に 説 明 し 発 見 者 が 情 報 開 示 の 必 要 性 を 客 観 的 に 判 断 できるようにします 12) 優 先 的 な 情 報 提 供 IPA は 届 出 がなされた 脆 弱 性 関 連 情 報 に 関 して JPCERT/CC から 政 府 行 政 機 関 や 重 要 インフラ 事 業 者 等 に 対 して 優 先 的 に 提 供 された 場 合 発 見 者 に 対 して その 旨 を 通 知 します 重 要 インフラ 事 業 者 には 情 報 通 信 金 融 航 空 鉄 道 電 力 ガス 医 療 水 道 物 流 化 学 クレジット 及 び 石 油 の 各 事 業 者 が 含 ま れます 13) 一 般 への 情 報 の 公 表 IPA および JPCERT/CC は 共 同 運 営 する 脆 弱 性 対 策 情 報 ポータルサイト Japan Vulnerability Notes(JVN)を 通 じて 一 般 に 対 し 脆 弱 性 情 報 と JPCERT/CC から 連 絡 した 全 ての 製 品 開 発 者 の 脆 弱 性 検 証 の 結 果 と 対 応 状 況 を 公 表 します さらに 一 旦 公 表 した 後 製 品 開 発 者 から 新 たな 対 応 状 況 を 受 け 取 った 場 合 その 都 度 更 新 します また IPA および JPCERT/CC は JVN に 関 する 問 い 合 わせ 先 を 明 示 し 主 として OSS 等 に 関 して システム 構 築 事 業 者 や 製 品 利 用 者 の 脆 弱 性 対 応 を 促 すことを 目 10

13 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 的 として 問 い 合 わせ 対 応 を 実 施 します なお 問 い 合 わせに 関 する 内 容 につ いては 必 要 に 応 じて JVN の 公 表 情 報 に 反 映 します 一 般 への 情 報 の 公 表 に 際 しては IPA は 発 見 者 にその 旨 を 通 知 します 14) 公 表 判 定 委 員 会 の 判 定 に 基 づく 公 表 製 品 開 発 者 と 適 切 な 連 絡 が 取 れない 等 の 理 由 により 進 展 が 見 込 めなくなった 場 合 には 製 品 利 用 者 に 脆 弱 性 のリスクを 自 ら 管 理 する 機 会 を 与 えるために JPCERT/CC の 要 請 を 受 け IPA は 脆 弱 性 情 報 を 公 表 するかどうかを 公 表 判 定 委 員 会 で 審 議 します 公 表 判 定 委 員 会 による 審 議 のプロセスについては3.(2)に 定 めます 脆 弱 性 情 報 を 公 表 すると 判 定 された 場 合 IPA は 製 品 開 発 者 名 とともに 脆 弱 性 情 報 等 を JVN で 公 表 します また 製 品 開 発 者 から 併 記 を 希 望 する 意 見 が 提 出 さ れた 場 合 その 意 見 の 趣 旨 および 根 拠 を 併 記 して 公 表 します その 際 に IPA は 発 見 者 にその 旨 を 通 知 します 判 定 が 脆 弱 性 情 報 を 公 表 しないこととなった 場 合 公 表 せず 取 扱 いを 終 了 します 15) 統 計 情 報 の 集 計 と 公 表 IPA は 脆 弱 性 に 係 わる 実 態 を 周 知 徹 底 し 危 機 意 識 の 向 上 を 図 り その 結 果 とし ての 被 害 の 予 防 のために 受 け 付 けた 脆 弱 性 関 連 情 報 を 集 計 し 統 計 情 報 とし てインターネット 上 等 で 少 なくとも 一 年 に 一 度 は 公 表 します 統 計 情 報 には 届 出 件 数 の 時 間 的 推 移 等 が 含 まれます (2) 連 絡 不 能 案 件 の 公 表 判 定 について 1) 公 表 判 定 委 員 会 の 組 織 IPA は 連 絡 がとれない 等 の 理 由 により JPCERT/CC と 製 品 開 発 者 とで 公 表 の 合 意 に 至 らなかった 案 件 について その 案 件 が 脆 弱 性 関 連 情 報 を 公 表 する 条 件 を 満 た しているかを 判 定 する 公 表 判 定 委 員 会 を 組 織 します IPA は 公 表 判 定 委 員 会 において 脆 弱 性 情 報 を 公 表 しない 場 合 に 製 品 利 用 者 等 が 受 けうる 被 害 と 公 表 した 場 合 に 製 品 開 発 者 製 品 利 用 者 等 が 被 りうる 不 利 益 とのバランスに 配 慮 するとともに 社 会 的 影 響 も 考 慮 し 不 利 益 を 被 りうる 関 係 者 が 意 見 を 表 明 することも 可 能 な 透 明 性 妥 当 性 のある 判 定 プロセスを 整 備 し ます IPA は 中 立 性 を 考 慮 し 当 該 連 絡 不 能 案 件 に 利 害 関 係 がない 有 識 者 法 律 や 情 報 セキュリティの 専 門 家 当 該 ソフトウエア 製 品 分 野 の 専 門 家 を 公 表 判 定 委 員 会 の 委 員 に 指 名 します 公 表 判 定 委 員 会 は 関 係 者 に 意 見 表 明 の 機 会 を 提 供 し そ の 意 見 を 踏 まえ 公 表 が 適 当 か 否 かを 判 定 します 2) 審 議 に 必 要 な 情 報 の 収 集 整 理 11

14 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 IPA は JPCERT/CC から 製 品 開 発 者 の 連 絡 先 (メールアドレス 等 ) 当 該 脆 弱 性 関 連 情 報 並 びに 製 品 開 発 者 による 脆 弱 性 検 証 の 結 果 及 び 対 応 状 況 を 聴 取 し 公 表 判 定 委 員 会 の 審 議 資 料 を 作 成 します 3) 連 絡 不 能 案 件 に 係 る 製 品 開 発 者 への 連 絡 公 表 判 定 委 員 会 は 連 絡 不 能 案 件 の 当 事 者 である 製 品 開 発 者 に 対 し 当 該 脆 弱 性 情 報 を 公 表 すべきかどうか 判 定 する 旨 を 連 絡 します (ア) 連 絡 内 容 公 表 判 定 委 員 会 が 製 品 開 発 者 に 伝 える 内 容 は 当 該 脆 弱 性 情 報 とその 存 在 を 判 断 した 根 拠 経 緯 公 表 予 定 の 文 案 意 見 書 の 提 出 先 と 提 出 期 限 です (イ) 連 絡 方 法 公 表 判 定 委 員 会 から 製 品 開 発 者 に 対 し 電 子 メール 等 の 合 理 的 手 段 をも って 連 絡 を 試 みます 連 絡 は プライバシーに 十 分 に 配 慮 します さら に 製 品 開 発 者 の 連 絡 先 が 不 明 である 場 合 には 付 録 4の 方 法 を 実 施 し たことをもって 通 達 努 力 を 果 たしたものとみなします なお この 製 品 開 発 者 から 脆 弱 性 検 証 の 結 果 及 び 対 応 状 況 のいずれかまたは 両 方 について 新 しい 報 告 があった 場 合 には その 内 容 に 応 じて IPA は 脆 弱 性 関 連 情 報 に 係 る 処 理 を JPCERT/CC に 戻 すことがあります 4) 関 係 者 からの 意 見 聴 取 公 表 判 定 委 員 会 は 製 品 開 発 者 をはじめとする 関 係 者 からの 意 見 聴 取 を 行 います 意 見 聴 取 は 原 則 として 書 面 による 手 続 きで 行 います また 公 表 判 定 委 員 会 は その 裁 量 によって 関 係 者 から 口 頭 での 意 見 を 聴 取 することができます 5) 判 定 公 表 判 定 委 員 会 は 脆 弱 性 検 証 結 果 や 当 該 製 品 開 発 者 をはじめとする 関 係 者 の 意 見 書 に 基 づき 脆 弱 性 情 報 の 公 表 に 関 する 判 定 を 行 います 取 り 扱 う 案 件 が 下 記 のすべての 条 件 を 満 たす 場 合 IPA および JPCERT/CC で 公 表 することが 適 当 と 判 定 します それ 以 外 は 公 表 をしないことと 判 定 します (ア) 当 該 案 件 が 連 絡 不 能 であること IPA および JPCERT/CC と 製 品 開 発 者 の 間 で 連 絡 がとれないこと 等 により 合 意 に 至 ることが 社 会 通 念 上 困 難 になったと 判 断 される 場 合 を 連 絡 不 能 と 位 置 づけます Ⅳ.4.2)(14 頁 )に 示 した 連 絡 方 法 をすべて 試 みても 製 品 開 発 者 と 9 カ 月 以 上 連 絡 が 取 れない 場 合 当 該 案 件 は 連 絡 不 能 と 判 断 します (イ) 脆 弱 性 が 存 在 すると 判 断 できること 12

15 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 ソフトウエア 製 品 の 脆 弱 性 とは ソフトウエア 製 品 等 において コンピ ュータ 不 正 アクセスやコンピュータウイルス 等 の 攻 撃 により その 機 能 や 性 能 を 損 なう 原 因 となり 得 るセキュリティ 上 の 問 題 箇 所 です ソフト ウエア 製 品 において 情 報 セキュリティの 三 大 要 素 ( 機 密 性 完 全 性 可 用 性 )の1つ 以 上 が 侵 害 される 可 能 性 があり その 原 因 となる 問 題 挙 動 を IPA または JPCERT/CC が 具 体 的 に 例 示 可 能 であり 製 品 開 発 者 が 反 証 できないとき 脆 弱 性 があると 判 断 します なお 判 断 においては 一 般 的 なソフトウエア 製 品 の 利 用 方 法 や 製 品 開 発 者 があらかじめ 提 示 している 使 用 条 件 等 を 考 慮 します (ウ) 公 表 しない 限 り 当 該 脆 弱 性 情 報 を 知 り 得 ない 製 品 利 用 者 がいるおそれ があること 製 品 開 発 者 が 当 該 ソフトウエア 製 品 の 製 品 利 用 者 全 員 に 確 実 に 通 知 す ることが 困 難 な 場 合 を 対 象 とします たとえば ソフトウエア 製 品 が 市 販 されている 場 合 や ホームページ 等 でダウンロード 可 能 である 場 合 は これに 該 当 します (エ) 公 表 が 不 適 切 であると 判 断 する 理 由 事 情 がないこと 製 品 開 発 者 の 取 組 みや 製 品 利 用 者 の 状 況 を 鑑 みて 公 表 をすることが 適 当 ではないと 判 断 する 明 確 な 理 由 事 情 がある 場 合 には 公 表 を 行 いま せん 6) 製 品 開 発 者 への 結 果 の 通 知 IPA は 公 表 判 定 委 員 会 がおこなった 審 議 に 基 づいて 公 表 するかどうかの 判 定 結 果 とその 理 由 を 製 品 開 発 者 に 通 知 します 当 該 脆 弱 性 情 報 を 公 表 することにな った 場 合 は 公 表 する 内 容 について 製 品 開 発 者 から 見 解 を 聴 取 します 併 記 を 希 望 する 意 見 が 申 し 出 期 間 内 に 提 出 された 場 合 その 意 見 の 趣 旨 および 根 拠 を 確 認 します ただし 付 録 4の 方 法 により 通 知 をおこなったものとみなされた 製 品 開 発 者 についてはこの 限 りではありません 7) JPCERT/CC への 結 果 の 通 知 IPA は 公 表 判 定 委 員 会 がおこなった 審 議 に 基 づいて 公 表 するかのどうかの 判 定 結 果 と 製 品 開 発 者 から 得 られた 見 解 併 記 を 希 望 する 意 見 を JPCERT/CC に 通 知 します また (ア)に 該 当 しないとの 理 由 で 公 表 が 適 当 でないと 判 定 された 場 合 JPCERT/CC と 製 品 開 発 者 の 間 で 公 表 等 に 係 る 調 整 を 再 度 行 うように 通 知 します 4.JPCERT/CC( 調 整 機 関 )の 対 応 1) 製 品 開 発 者 リストの 整 備 13

16 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 JPCERT/CC は 製 品 開 発 者 に 対 して 脆 弱 性 関 連 情 報 を 連 絡 するために 日 頃 より 製 品 開 発 者 リストの 整 備 に 努 めます この 製 品 開 発 者 リストには 製 品 開 発 者 毎 に 製 品 の 情 報 社 名 窓 口 等 を 登 録 します 2) 製 品 開 発 者 への 連 絡 JPCERT/CC は 届 け 出 られた 脆 弱 性 関 連 情 報 の IPA からの 通 知 を 受 け 製 品 開 発 者 リストの 活 用 や 脆 弱 性 関 連 情 報 を 分 析 することにより 速 やかに 製 品 開 発 者 を 特 定 し 必 要 に 応 じて 製 品 開 発 者 リストに 当 該 製 品 開 発 者 を 追 加 した 上 で その 製 品 開 発 者 に 連 絡 を 行 います その 際 に 各 製 品 開 発 者 に 対 して 脆 弱 性 検 証 を 行 い その 結 果 を 報 告 することを 求 めます また JPCERT/CC は OSS に 関 する 事 前 通 知 を 開 発 者 または 開 発 コミュニティ に 加 えて 必 要 に 応 じて 以 下 へ 通 知 します OSS を 導 入 した 製 品 の 開 発 者 ディストリビュータ 製 品 の 仕 様 を 決 定 するサービス 提 供 者 ( 例 : 携 帯 電 話 会 社 ) これは 開 発 者 または 開 発 コミュニティによる 脆 弱 性 対 応 が 困 難 でかつ 発 表 も されない 場 合 に 当 該 OSS を 導 入 した 製 品 の 開 発 者 やディストリビュータ 製 品 の 仕 様 を 決 定 するサービス 提 供 者 は それらの 脆 弱 性 対 応 が 重 要 であるケー スが 想 定 されるためです なお IPA から 通 知 された 脆 弱 性 関 連 情 報 が 重 要 インフラ 等 に 深 刻 な 影 響 を 与 え 得 るものである 等 緊 急 な 対 応 を 要 すると 判 断 される 場 合 においては 受 付 の 順 序 に 関 わらず 優 先 的 に 取 扱 いを 行 います さらに 製 品 開 発 者 が 申 告 した 連 絡 先 情 報 や 製 品 に 添 えられた 宛 先 情 報 等 をも とに 電 子 メールや 郵 便 電 話 FAX 等 いずれの 手 段 で 製 品 開 発 者 に 連 絡 を 試 み ても 一 定 期 間 にわたりまったく 応 答 がない 場 合 には 連 絡 が 取 れない と 判 断 します その 場 合 JPCERT/CC は 該 当 する 製 品 開 発 者 を 連 絡 不 能 開 発 者 と 位 置 づけて 公 表 し 連 絡 を 呼 びかけます( 連 絡 不 能 開 発 者 一 覧 の 公 表 につい ては 付 録 4に 示 します) それでも 連 絡 がとれない 場 合 には JPCERT/CC は 対 象 製 品 ( 製 品 名 及 びバージョン)を 公 表 し 広 く 一 般 に 情 報 提 供 を 呼 びかけ ることがあります( 対 象 製 品 情 報 の 公 表 と 関 係 者 へのお 願 いについては 付 録 4に 示 します) 3) 公 表 日 の 決 定 JPCERT/CC は 製 品 開 発 者 から 脆 弱 性 検 証 の 結 果 を 受 け 取 り 製 品 開 発 者 と 相 談 した 上 で 脆 弱 性 情 報 と 製 品 開 発 者 の 対 応 状 況 の 公 表 日 を 決 定 し IPA およ び 関 係 する 製 品 開 発 者 に 通 知 します 公 表 日 は JPCERT/CC が 製 品 開 発 者 へ の 連 絡 (4.2) 参 照 )にて 規 定 された 連 絡 を 最 初 に 試 みた 日 ( 起 算 日 2. 注 釈 1 参 照 )から 45 日 後 を 目 安 とします ただし 公 表 日 の 決 定 に 際 しては 以 下 の 点 も 考 慮 します 14

17 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 1 対 策 方 法 の 作 成 に 要 する 期 間 2 海 外 の 調 整 機 関 との 調 整 に 要 する 期 間 3 脆 弱 性 情 報 流 出 に 係 わるリスク また 通 知 した 製 品 開 発 者 が 複 数 いて その 一 部 の 製 品 開 発 者 しか 脆 弱 性 検 証 の 結 果 報 告 をしない 場 合 JPCERT/CC は 得 られた 結 果 報 告 を 踏 まえつつ 過 去 の 類 似 事 例 や23を 参 考 にして 公 表 日 を 決 定 し IPA および 関 係 する 製 品 開 発 者 に 通 知 します 4) 公 表 日 決 定 後 の 対 応 JPCERT/CC は 製 品 開 発 者 から 一 般 への 公 表 日 の 変 更 の 要 請 を 受 けた 場 合 公 表 日 を 変 更 することがあります その 場 合 変 更 した 公 表 日 を IPA および 脆 弱 性 関 連 情 報 に 関 して 連 絡 を 行 った 全 ての 製 品 開 発 者 に 連 絡 します さらに 以 下 の 場 合 一 般 への 公 表 を 取 りやめることがあります その 場 合 その 旨 を IPA に 連 絡 します (ア) 通 知 を 行 った 製 品 開 発 者 から 既 知 の 脆 弱 性 情 報 であるとの 連 絡 を 受 け た 場 合 (イ) 通 知 を 行 った 製 品 開 発 者 から 脆 弱 性 による 影 響 がないとの 連 絡 を 受 け た 場 合 (ウ) 製 品 開 発 者 がすべての 製 品 利 用 者 に 通 知 する 場 合 (システム 構 築 事 業 者 を 介 して 通 知 するケースを 含 む) 5) JPCERT/CC における 脆 弱 性 関 連 情 報 の 取 扱 い JPCERT/CC は 脆 弱 性 情 報 を 一 般 に 公 表 するまでは 第 三 者 に 漏 洩 しないよう に 管 理 します ただし 海 外 製 品 であり 外 国 企 業 の 日 本 法 人 や 総 代 理 店 が 無 い 場 合 海 外 に 大 きな 影 響 を 与 える 脆 弱 性 関 連 情 報 の 場 合 および 脆 弱 性 関 連 情 報 の 詳 細 な 分 析 が 必 要 な 場 合 等 には JPCERT/CC は 第 三 者 に 情 報 を 提 供 するこ とがあります 具 体 的 には 秘 密 保 持 契 約 を 締 結 した 上 で 海 外 の 調 整 機 関 ま たは IPA を 含 む 外 部 機 関 に 連 絡 や 分 析 を 依 頼 するケースや 関 係 者 の 許 諾 を 得 た 上 で IPA と 連 携 し 脆 弱 性 の 再 現 に 必 要 な 情 報 を 製 品 開 発 者 に 提 供 するケ ースがあります 6) 脆 弱 性 関 連 情 報 の 影 響 の 分 析 JPCERT/CC は IPA と 連 携 して 届 け 出 られた 脆 弱 性 関 連 情 報 が 他 のソフトウエ アやシステムに 及 ぼす 影 響 の 分 析 を 行 うよう 努 めます 影 響 の 分 析 結 果 につい ては 製 品 開 発 者 に 連 絡 します 7) 対 応 状 況 の 受 付 JPCERT/CC は JPCERT/CC から 連 絡 した 全 ての 製 品 開 発 者 に 対 して 脆 弱 性 情 報 の 一 般 公 表 日 までに 脆 弱 性 関 連 情 報 に 係 わる 対 応 状 況 を 報 告 するように 要 請 15

18 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 します 一 般 への 脆 弱 性 情 報 の 公 表 に 際 しては 対 応 状 況 を IPA と 共 有 します 8) 優 先 的 な 情 報 提 供 JPCERT/CC は 届 出 がなされた 脆 弱 性 関 連 情 報 に 関 して 重 要 インフラ 等 に 対 し 特 に 影 響 が 大 きいと 推 察 される 場 合 IPA および 製 品 開 発 者 と 協 議 の 上 脆 弱 性 情 報 の 一 般 公 表 より 前 に 脆 弱 性 情 報 と 対 策 方 法 を 政 府 行 政 機 関 や 重 要 イ ンフラ 事 業 者 等 に 対 して 優 先 的 に 提 供 することがあります この 際 発 見 者 に 対 して その 旨 を IPA を 通 じて 通 知 します 重 要 インフラ 事 業 者 には 情 報 通 信 金 融 航 空 鉄 道 電 力 ガス 医 療 水 道 物 流 化 学 クレジット 及 び 石 油 の 各 事 業 者 が 含 まれます なお 優 先 的 な 脆 弱 性 情 報 の 提 供 が 情 報 の 漏 洩 につながると 判 断 される 場 合 は この 限 り ではありません 9) 一 般 への 情 報 の 公 表 JPCERT/CC および IPA は JVN を 通 じて 一 般 に 対 し 脆 弱 性 情 報 と JPCERT/CC から 連 絡 した 全 ての 製 品 開 発 者 の 脆 弱 性 検 証 の 結 果 と 対 応 状 況 を 公 表 します さらに 一 旦 公 表 した 後 製 品 開 発 者 から 新 たな 対 応 状 況 を 受 け 取 った 場 合 その 都 度 更 新 します また 製 品 開 発 者 が 製 品 利 用 者 に 生 じるリスクを 低 減 できると 判 断 した 場 合 JPCERT/CC は 製 品 開 発 者 と 調 整 した 上 で 製 品 開 発 者 が 製 品 利 用 者 に 脆 弱 性 検 証 の 結 果 や 対 応 状 況 を 公 表 前 に 通 知 するのを 認 めることができます さらに JPCERT/CC および IPA は JVN に 関 する 問 い 合 わせ 先 を 明 示 し 主 とし て OSS 等 に 関 して システム 構 築 事 業 者 や 製 品 利 用 者 の 脆 弱 性 対 応 を 促 すこと を 目 的 として 問 い 合 わせ 対 応 を 実 施 します なお 問 い 合 わせに 関 する 内 容 については 必 要 に 応 じて JVN の 公 表 情 報 に 反 映 します 10) 公 表 判 定 委 員 会 への 判 定 の 要 請 と 判 定 に 基 づく 公 表 JPCERT/CC は 製 品 開 発 者 の 連 絡 先 が 不 明 か 適 切 な 連 絡 手 段 が 存 在 しない 連 絡 先 が 分 かっても 呼 びかけに 対 して 全 く 応 答 がないか 調 整 を 進 めるために 必 要 な 情 報 が 得 られない 等 の 理 由 により 進 展 が 見 込 めなくなった 場 合 には 公 表 する かどうかの 判 定 を IPA に 要 請 できます 脆 弱 性 情 報 を 公 表 する 判 定 が 下 された 場 合 JPCERT/CC は 脆 弱 性 情 報 等 を JVN で 公 表 します また 製 品 開 発 者 から 併 記 を 希 望 する 意 見 が 提 出 された 場 合 その 意 見 の 趣 旨 および 根 拠 を 併 記 して 公 表 します 判 定 により 脆 弱 性 情 報 を 公 表 しないこととなった 場 合 公 表 せず 取 扱 いを 終 了 します なお 公 表 に 係 る 調 整 を 再 度 行 うように IPA から 要 請 された 場 合 には その 内 容 に 応 じて JPCERT/CC は 脆 弱 性 関 連 情 報 に 係 る 処 理 を 再 開 することがあります 16

19 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 5. 製 品 開 発 者 の 対 応 製 品 開 発 者 は 製 品 に 脆 弱 性 が 存 在 する 場 合 には その 対 策 に 関 して 適 切 な 対 応 をすることが 望 まれます 製 品 開 発 者 に 係 わる 法 的 な 論 点 は 付 録 3に 示 しま す 以 下 で 製 品 開 発 者 が 脆 弱 性 関 連 情 報 の 対 応 のために 行 うことが 望 ましい 事 項 を 説 明 します 1) 窓 口 の 設 置 製 品 開 発 者 は JPCERT/CC との 間 で 脆 弱 性 関 連 情 報 に 関 する 情 報 交 換 を 行 うため の 窓 口 を 設 置 し あらかじめ JPCERT/CC に 連 絡 してください この 窓 口 が JPCERT/CC の 製 品 開 発 者 リストに 登 録 されることになります また 窓 口 の 変 更 があれば 速 やかに JPCERT/CC に 連 絡 してください 2) 脆 弱 性 検 証 の 実 施 製 品 開 発 者 は JPCERT/CC から 脆 弱 性 関 連 情 報 を 受 け 取 ったら ソフトウエア 製 品 への 影 響 を 調 査 し 脆 弱 性 検 証 を 行 い その 結 果 を JPCERT/CC に 報 告 してく ださい また 他 社 のソフトウエア 製 品 に 類 似 の 脆 弱 性 があると 推 定 される 場 合 JPCERT/CC に 連 絡 してください また 何 らかの 理 由 で JPCERT/CC からの 連 絡 を 受 け 取 れなかった 場 合 も JPCERT/CC から 連 絡 不 能 開 発 者 として 示 された 場 合 には すみやかに JPCERT/CC に 連 絡 してください 3) 脆 弱 性 情 報 の 公 表 日 の 調 整 製 品 開 発 者 は 検 証 の 結 果 脆 弱 性 が 存 在 することを 確 認 した 場 合 対 策 方 法 の 作 成 や 外 部 機 関 との 調 整 に 要 する 期 間 当 該 脆 弱 性 情 報 流 出 に 係 わるリスク を 考 慮 しつつ 脆 弱 性 情 報 の 公 表 に 関 するスケジュールについて JPCERT/CC と 相 談 してください なお 公 表 日 は JPCERT/CC が 製 品 開 発 者 への 連 絡 (4. 2) 参 照 )にて 規 定 された 連 絡 を 最 初 に 試 みた 日 ( 起 算 日 2. 注 釈 1 参 照 )か ら 45 日 後 を 目 安 とします 公 表 に 更 なる 時 間 を 要 する 場 合 は JPCERT/CC と 相 談 してください 4) 発 見 者 との 直 接 の 情 報 交 換 製 品 開 発 者 は JPCERT/CC から 脆 弱 性 関 連 情 報 を 受 け 取 った 後 JPCERT/CC およ び IPA を 介 し 発 見 者 の 了 解 を 得 て 発 見 者 と 直 接 情 報 交 換 を 行 うことができ ます 5) 関 連 ウェブサイトに 関 する 情 報 の 取 扱 い 当 該 ソフトウエア 製 品 がウェブサイトの 構 成 要 素 であり 製 品 開 発 者 が 当 該 脆 17

20 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 弱 性 を 再 現 できない 場 合 製 品 開 発 者 は 届 出 に 関 連 したウェブサイトの 情 報 を JPCERT/CC に 求 めることができます 製 品 開 発 者 は 関 連 ウェブサイトの 情 報 が 提 供 された 場 合 その 情 報 を 第 三 者 に 漏 洩 しないように 適 切 に 管 理 してく ださい 6) 問 い 合 わせへの 対 応 製 品 開 発 者 は JPCERT/CC からの 脆 弱 性 関 連 情 報 に 係 わる 技 術 的 事 項 および 進 捗 状 況 に 関 する 問 い 合 わせに 的 確 に 答 えてください 7) 対 応 状 況 の 連 絡 と 対 策 方 法 の 作 成 製 品 開 発 者 は 脆 弱 性 情 報 の 一 般 の 公 表 日 までに 脆 弱 性 関 連 情 報 に 係 わる 対 応 状 況 を JPCERT/CC に 連 絡 するとともに 脆 弱 性 関 連 情 報 に 係 わる 対 策 方 法 を 作 成 するよう 努 めてください JPCERT/CC に 対 する 対 応 状 況 の 報 告 をもって IPA にも 報 告 したこととみなされます また 対 応 状 況 が 変 わった 場 合 その 都 度 JPCERT/CC に 最 新 の 情 報 を 連 絡 してください 8) 対 策 方 法 の 周 知 製 品 開 発 者 は 対 策 方 法 を 作 成 した 場 合 脆 弱 性 情 報 一 般 公 表 日 以 降 それを 製 品 利 用 者 に 周 知 してください 望 ましい 公 表 の 手 順 については 本 ガイドラ インの 別 冊 ソフトウエア 製 品 開 発 者 による 脆 弱 性 対 策 情 報 の 公 表 マニュアル を 参 考 にしてください 9) 製 品 開 発 者 内 の 情 報 の 管 理 製 品 開 発 者 は 上 記 3)で 作 成 した 脆 弱 性 情 報 の 一 般 公 表 スケジュールおよび 脆 弱 性 関 連 情 報 を 脆 弱 性 情 報 を 一 般 に 公 表 する 日 まで 第 三 者 に 漏 洩 しないよう に 管 理 してください ただし 製 品 利 用 者 に 生 じるリスクを 低 減 できると 判 断 した 場 合 製 品 開 発 者 は JPCERT/CC と 調 整 した 上 で 直 接 あるいはシステム 構 築 事 業 者 を 介 して 製 品 利 用 者 に 脆 弱 性 検 証 の 結 果 や 対 応 状 況 を 公 表 前 に 通 知 することができます そ の 際 製 品 開 発 者 は 通 知 先 に 対 し 脆 弱 性 情 報 を 一 般 に 公 表 するまでの 間 脆 弱 性 情 報 と 対 策 方 法 について 第 三 者 に 漏 洩 しないように 適 切 に 管 理 するこ とを 要 請 してください 10) 公 表 判 定 委 員 会 に 関 する 対 応 IPA および JPCERT/CC は 製 品 開 発 者 と 適 切 な 連 絡 が 取 れない 等 の 理 由 により 進 展 が 見 込 めなくなった 場 合 には 3.(2)に 定 める 手 続 を 行 い 公 表 するかどう かを IPA が 組 織 する 公 表 判 定 委 員 会 で 判 定 することができます 脆 弱 性 情 報 を 公 表 すると 判 定 した 場 合 IPA および JPCERT/CC は 製 品 開 発 者 名 とともに 脆 弱 性 情 報 等 を JVN で 公 表 します 18

21 Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 公 表 判 定 委 員 会 による 判 定 が 行 われる 場 合 製 品 開 発 者 には 意 見 を 表 明 する 機 会 が 与 えられます 公 表 判 定 委 員 会 による 判 定 のプロセスについては3.(2)を 参 照 してください 6.その 他 1) 製 品 開 発 者 自 身 による 脆 弱 性 関 連 情 報 の 発 見 取 得 製 品 開 発 者 は 自 社 のソフトウエア 製 品 についての 脆 弱 性 関 連 情 報 であって 他 社 のソフトウエア 製 品 に 影 響 を 及 ぼさないと 認 められるものを 発 見 取 得 し JPCERT/CC 等 からの 通 知 によることなく 対 策 方 法 を 作 成 した 場 合 であっても 製 品 利 用 者 への 周 知 を 徹 底 するために JPCERT/CC または IPA に 連 絡 することが 望 まれます この 連 絡 をもって IPA および JPCERT/CC に 連 絡 したこととみなさ れます 2) IPA および JPCERT/CC による 普 及 支 援 IPA および JPCERT/CC は 上 記 1)の 連 絡 を 受 け 取 った 当 該 脆 弱 性 関 連 情 報 及 び 対 策 方 法 を JVN で 公 表 します 公 表 する 時 期 については 製 品 開 発 者 と 事 前 に 調 整 を 図 ります 19

22 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 1. 概 要 ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 概 要 は 図 2の 通 りです 発 見 者 1 発 見 者 は IPAに 脆 弱 性 関 連 情 報 を 届 け 出 る IPA 5 IPAは 定 期 的 に 統 計 情 報 を 公 表 する 2 IPAは ウェブサイト 運 営 者 に 脆 弱 性 関 連 情 報 を 通 知 する ウェブサイト 運 営 者 3 ウェブサイト 運 営 者 は 脆 弱 性 を 修 正 する 4 ウェブサイト 運 営 者 は 個 人 情 報 漏 洩 等 があった 場 合 その 事 実 を 一 般 に 公 表 する 等 の 措 置 をとる 一 般 図 2 ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 概 要 (ウェブアプリケーションにおける 脆 弱 性 情 報 取 扱 いの 全 体 フローは 付 録 2に 示 します ) 1) 発 見 者 は IPA に 脆 弱 性 関 連 情 報 を 届 け 出 る 2) IPA は 受 け 取 った 脆 弱 性 関 連 情 報 に 関 して 原 則 としてウェブサイト 運 営 者 に 通 知 する 3) ウェブサイト 運 営 者 は 脆 弱 性 関 連 情 報 の 内 容 を 検 証 し 影 響 の 分 析 を 行 った 上 で 必 要 に 応 じて 脆 弱 性 の 修 正 を 行 う 4) 個 人 情 報 漏 洩 等 の 事 件 があった 場 合 ウェブサイト 運 営 者 は その 事 実 を 一 般 に 公 表 する 等 適 切 な 処 置 をとる 5) IPA は 統 計 情 報 を 少 なくとも 一 年 に 一 度 は 公 表 する 20

23 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 2. 発 見 者 の 対 応 1) 脆 弱 性 関 連 情 報 の 発 見 取 得 脆 弱 性 関 連 情 報 の 発 見 取 得 に 際 しては 関 連 法 令 に 触 れることが 無 いように 留 意 してください 法 的 な 論 点 に 関 しては 付 録 3を 参 照 してください 2) 脆 弱 性 関 連 情 報 の 届 出 発 見 者 は 発 見 した 脆 弱 性 関 連 情 報 を IPA に 届 け 出 ることができます ウェブ サイト 運 営 者 に 対 し 同 一 情 報 の 届 出 を 行 う 必 要 はありませんが 届 け 出 るこ と 自 体 は 問 題 ありません 3) 脆 弱 性 関 連 情 報 の 管 理 および 開 示 発 見 者 は 脆 弱 性 が 修 正 されるまでの 間 は 脆 弱 性 関 連 情 報 が 第 三 者 に 漏 れな いように 適 切 に 管 理 してください( 発 見 者 に 対 する 情 報 非 開 示 依 頼 以 下 情 報 非 開 示 依 頼 という) ただし 止 むを 得 ず 脆 弱 性 関 連 情 報 を 開 示 する 場 合 に は 事 前 に IPA に 相 談 してください 脆 弱 性 関 連 情 報 の 管 理 および 開 示 に 係 わ る 法 的 な 論 点 に 関 しては 付 録 3に 示 します 4) 届 け 出 る 情 報 の 内 容 発 見 者 は 届 け 出 る 情 報 の 中 で 以 下 の 点 を 明 示 してください( 詳 細 は を 参 照 してください) 発 見 者 の 氏 名 連 絡 先 脆 弱 性 関 連 情 報 に 関 連 するサイトの URL 脆 弱 性 関 連 情 報 の 内 容 脆 弱 性 関 連 情 報 を 確 認 する 環 境 と 手 順 個 人 情 報 の 取 扱 い 方 法 (ウェブサイト 運 営 者 との 直 接 の 情 報 交 換 の 可 否 ウェブサイト 運 営 者 への 通 知 の 可 否 ) 他 の 組 織 ( 製 品 開 発 者 他 のセキュリティ 関 係 機 関 等 )への 届 出 状 況 等 発 見 者 が 望 まない 場 合 IPA は ウェブサイト 運 営 者 へ 発 見 者 を 特 定 しうる 情 報 を 連 絡 することはありません 5)ウェブサイト 運 営 者 との 直 接 の 情 報 交 換 発 見 者 は IPA に 脆 弱 性 関 連 情 報 を 届 け 出 た 後 IPA と 協 議 の 上 ウェブサイト 運 営 者 の 了 解 を 得 て ウェブサイト 運 営 者 と 直 接 情 報 交 換 を 行 うことができま す 6) 届 出 後 の 対 応 発 見 者 は 届 出 後 IPA に 進 捗 状 況 の 問 い 合 わせを 行 うことができます IPA は 本 ガイドラインの3.に 則 って 処 理 を 行 い 発 見 者 から 問 い 合 わせがあった 場 合 適 切 な 情 報 の 開 示 を 行 います 発 見 者 は 開 示 された 情 報 をみだりに 第 三 者 に 開 示 しないでください 21

24 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 3.IPA( 受 付 機 関 )の 対 応 1) 脆 弱 性 関 連 情 報 の 受 付 脆 弱 性 関 連 情 報 の 受 付 に 関 し 詳 細 は 以 下 の URL を 御 参 照 ください 届 出 は 24 時 間 受 け 付 けますが 受 け 付 けた 情 報 について 2) 以 降 の 作 業 を 行 うの は 原 則 営 業 日 のみとなります 2) 届 出 の 受 理 IPA は 発 見 者 への 連 絡 が 可 能 である 事 を 確 認 でき 上 記 2.4)の 項 目 が 十 分 に 記 述 されていると 判 断 した 時 その 時 点 で 届 出 を 受 理 し 発 見 者 に 連 絡 します 3) 違 法 な 手 段 で 入 手 された 脆 弱 性 関 連 情 報 への 対 応 IPA は 脆 弱 性 関 連 情 報 の 入 手 方 法 に 関 して 関 知 しません ただし 違 法 な 手 段 で 入 手 されたことが 明 白 な 脆 弱 性 関 連 情 報 に 関 しては 処 理 を 取 りやめること があります 4) 脆 弱 性 関 連 情 報 への 対 応 続 行 の 判 断 IPA は 以 下 の 条 件 のいずれかと 合 致 した 場 合 処 理 を 取 りやめるとともに 発 見 者 に 連 絡 します (ア)IPA が 脆 弱 性 関 連 情 報 でないと 確 認 した 場 合 (イ)IPA が 既 に 報 告 されている 脆 弱 性 関 連 情 報 であると 確 認 した 場 合 (ウ)ウェブサイト 運 営 者 から 脆 弱 性 関 連 情 報 でないと 連 絡 があった 場 合 (エ)ウェブサイト 運 営 者 から 既 知 の 脆 弱 性 関 連 情 報 であると 連 絡 があった 場 合 (オ)ウェブサイトの 不 適 切 な 運 用 ( 付 録 1)のうち 脆 弱 性 の 原 因 が 下 記 と 判 明 したもので IPA が 注 意 喚 起 等 の 方 法 で 広 く 対 策 を 促 した 後 処 理 を 取 りやめる 判 断 をした 場 合 ウェブサイトが 利 用 しているソフトウエア 製 品 の 設 定 情 報 が 誤 っ ていたり 初 期 状 態 のままとなっている ウェブサイトが 利 用 しているソフトウエア 製 品 の 修 正 プログラムが 適 用 されていない なお 上 記 (オ)の 注 意 喚 起 後 は 該 当 する 製 品 の 開 発 者 も 対 策 方 法 の 再 度 の 周 知 をウェブサイト 運 営 者 へ 行 うことを 推 奨 します 5) ウェブサイト 運 営 者 への 連 絡 IPA は 上 記 2) 3)および 4)における 対 応 の 是 非 の 判 断 の 結 果 対 応 すること が 妥 当 との 判 断 を 下 した 脆 弱 性 関 連 情 報 について 速 やかにウェブサイト 運 営 22

25 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 者 に 通 知 します また ウェブサイト 運 営 者 が 脆 弱 性 の 再 現 する 状 況 を 特 定 で きない 場 合 等 は ウェブサイト 運 営 者 の 了 解 を 得 た 上 で IPA は IPA の 内 部 また は 外 部 で 脆 弱 性 関 連 情 報 に 関 する 技 術 的 分 析 を 行 います なお ウェブサイトに 掲 載 された 宛 先 情 報 をもとに 電 子 メールや 郵 便 電 話 FAX 等 いずれの 手 段 でウェブサイト 運 営 者 に 脆 弱 性 関 連 情 報 に 係 わる 問 い 合 わ せを 試 みても 一 定 期 間 にわたり 的 確 な 答 えがない 場 合 IPA は その 脆 弱 性 の 影 響 範 囲 や 取 扱 期 間 を 考 慮 して 取 扱 いを 終 了 することがあります 取 扱 いを 終 了 する 場 合 IPA の 発 見 者 に 対 する 情 報 非 開 示 依 頼 は 効 力 を 失 います 6) 発 見 者 との 情 報 交 換 IPA は 届 出 を 受 理 した 後 でも 発 見 者 に 問 い 合 わせすることがあります また 発 見 者 から 問 い 合 わせがあった 場 合 ウェブサイト 運 営 者 と 相 談 の 上 適 切 な 情 報 の 開 示 を 行 います 7) 脆 弱 性 関 連 情 報 の 管 理 IPA は 脆 弱 性 関 連 情 報 に 関 して 発 見 者 ウェブサイト 運 営 者 以 外 の 第 三 者 に 提 供 しないように 適 切 に 管 理 します ただし 脆 弱 性 が 再 現 する 状 況 を 特 定 で きない 等 止 むを 得 ない 理 由 により IPA が 国 立 研 究 開 発 法 人 産 業 技 術 総 合 研 究 所 等 の 外 部 機 関 に 脆 弱 性 関 連 情 報 に 関 する 技 術 的 分 析 を 依 頼 することがあります この 場 合 IPA は 秘 密 保 持 契 約 を 結 びます さらに 下 記 8)に 関 しては 例 外 と します 8) ソフトウエア 製 品 の 脆 弱 性 である 場 合 の 対 応 IPA は 届 け 出 られた 脆 弱 性 関 連 情 報 を 分 析 する 過 程 で ソフトウエア 製 品 の 脆 弱 性 であることを 認 識 した 場 合 JPCERT/CC を 介 して 製 品 開 発 者 に 連 絡 を 行 いま す その 際 原 則 としてウェブサイトを 特 定 可 能 な 情 報 を 提 供 しないように 適 切 に 管 理 します ただし 脆 弱 性 の 再 現 のため 必 要 な 場 合 ウェブサイト 運 営 者 の 同 意 が 得 られれば 当 該 ウェブサイトに 関 する 情 報 を 製 品 開 発 者 に 提 供 する ことがあります 9) 発 見 者 の 個 人 情 報 の 管 理 IPA は 氏 名 連 絡 先 を 含 む 発 見 者 に 係 わる 情 報 を 発 見 者 が 望 む 場 合 以 外 には ウェブサイト 運 営 者 および 第 三 者 に 開 示 しないよう 適 切 に 管 理 します 10) 脆 弱 性 の 修 正 の 通 知 IPA は ウェブサイト 運 営 者 から 脆 弱 性 を 修 正 した 旨 の 通 知 を 受 けた 場 合 それ を 速 やかに 発 見 者 に 通 知 します 11) 統 計 情 報 の 集 計 と 公 表 23

26 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 IPA は 脆 弱 性 に 係 わる 実 態 を 周 知 徹 底 し 危 機 意 識 の 向 上 を 図 り その 結 果 とし ての 被 害 の 予 防 のために 受 け 付 けた 脆 弱 性 関 連 情 報 を 集 計 し 統 計 情 報 とし てインターネット 上 等 で 少 なくとも 一 年 に 一 度 は 公 表 します 統 計 情 報 には 届 出 件 数 の 時 間 的 推 移 等 が 含 まれます その 際 に 当 該 ウェブアプリケーショ ンの 脆 弱 性 関 連 情 報 に 関 して サイト 名 URL ウェブサイト 運 営 者 名 が 判 別 可 能 な 形 式 で 公 表 することはありません 4.ウェブサイト 運 営 者 の 対 応 ウェブアプリケーションに 脆 弱 性 が 存 在 する 場 合 には ウェブサイト 運 営 者 は これに 関 して 適 切 な 対 応 をすることが 望 まれます ウェブサイト 運 営 者 における 法 的 な 論 点 は 付 録 3に 示 します 以 下 で ウェブサイト 運 営 者 が 対 応 すべき 事 項 を 説 明 します 1) 脆 弱 性 関 連 情 報 への 対 処 ウェブサイト 運 営 者 は 通 知 を 受 けたら 脆 弱 性 の 内 容 を 検 証 し 脆 弱 性 が 存 在 することを 確 認 した 場 合 には 脆 弱 性 の 及 ぼす 影 響 を 正 確 に 把 握 し その 大 きさを 考 慮 して 脆 弱 性 を 修 正 してください また 当 該 脆 弱 性 関 連 情 報 に 関 し て 検 証 した 結 果 および 修 正 した 場 合 その 旨 を IPA に 連 絡 してください この 連 絡 は IPA から 脆 弱 性 関 連 情 報 の 通 知 を 受 けてから 3 ヶ 月 以 内 を 目 処 として ください 2) 問 い 合 わせへの 対 応 ウェブサイト 運 営 者 は IPA からの 脆 弱 性 関 連 情 報 に 係 わる 問 い 合 わせに 的 確 に 答 えてください 3) 発 見 者 との 直 接 の 情 報 交 換 ウェブサイト 運 営 者 は 脆 弱 性 を 修 正 するために IPA と 協 議 の 上 発 見 者 の 了 解 のある 場 合 発 見 者 と 直 接 情 報 交 換 を 行 うことが 可 能 です 4) ウェブサイト 運 営 者 内 での 情 報 の 管 理 ウェブサイト 運 営 者 は 脆 弱 性 が 修 正 されるまでの 間 は 脆 弱 性 関 連 情 報 を 第 三 者 に 漏 洩 しないように 管 理 してください ただし ウェブサイト 運 営 者 が 脆 弱 性 修 正 を 依 頼 した 外 部 機 関 およびウェブサイトの 管 理 を 委 託 している 外 部 機 関 には 秘 密 保 持 契 約 を 締 結 した 上 で 脆 弱 性 関 連 情 報 を 連 絡 することを 推 奨 します なお ウェブサイト 運 営 者 は 脆 弱 性 の 修 正 の 過 程 でソフトウエア 製 品 の 脆 弱 性 であることを 認 識 した 場 合 情 報 を 適 切 に 管 理 してください 24

27 Ⅴ.ウェブアプリケーションに 係 る 脆 弱 性 関 連 情 報 取 扱 5) 脆 弱 性 関 連 情 報 の 公 表 ウェブサイト 運 営 者 は ウェブアプリケーションの 脆 弱 性 関 連 情 報 に 関 して 積 極 的 に 公 表 する 必 要 はありません ただし この 脆 弱 性 が 原 因 で 個 人 情 報 が 漏 洩 した 等 の 事 案 が 起 こったまたは 起 こった 可 能 性 がある 場 合 二 次 被 害 の 防 止 および 関 連 事 案 の 予 防 のために 以 下 の 項 目 を 含 むように 公 表 してくださ い また 当 該 個 人 からの 問 い 合 わせに 的 確 に 回 答 するようにしてください 個 人 情 報 漏 洩 の 概 要 漏 洩 したと 推 察 される 期 間 漏 洩 したと 推 察 される 件 数 漏 洩 したと 推 察 される 個 人 情 報 の 種 類 ( 属 性 等 ) 漏 洩 の 原 因 問 合 せ 先 25

28 付 録 1 用 語 の 解 説 付 録 1 用 語 の 解 説 1.ソフトウエア 製 品 ソフトウエア 製 品 (オープンソースソフトウエアのように 技 術 情 報 を 統 括 する 企 業 が 一 社 に 定 まらないもの 複 数 の 者 又 は 団 体 によりその 改 善 が 行 われるものも 含 みます)の 種 類 は OS ブラウザ メーラ 等 のクライアント 上 のソフトウエア DBMS(Database Management System) ウェブサーバ 等 のサーバ 上 のソフトウエア プリンタ IC カード PDA(Personal Digital Assistance) コピー 機 等 のソフト ウエアを 組 み 込 んだハードウエア 制 御 システム 用 製 品 等 を 想 定 しています 制 御 システムは 他 の 機 器 やシステムの 動 作 を 管 理 指 示 制 御 するシステムま たは 装 置 であり センサやアクチュエータ 等 のフィールド 機 器 制 御 用 ネットワ ーク コントローラ 監 視 制 御 システム(SCADA:Supervisory Control And Data Acquisition とも 呼 ばれる) 等 で 構 成 されています 制 御 システムは 一 般 にライフサイクルが 長 いこと 業 務 の 性 質 上 すぐに 停 止 で きないため 対 策 が 用 意 されてもそれを 実 施 することが 難 しい 場 合 があることか ら 対 策 の 実 施 に 時 間 を 要 する 点 に 配 慮 する 必 要 があります さらに 社 会 基 盤 を 支 える 制 御 システムの 場 合 被 害 が 生 じたときの 社 会 的 影 響 が 大 きい 点 にも 配 慮 する 必 要 があります 2.エクスプロイトコード エクスプロイトコードは 攻 撃 コードとも 呼 ばれることもあり 脆 弱 性 を 悪 用 す るソフトウエアのソースコードです しかし 使 い 方 によっては 脆 弱 性 の 検 証 に 役 立 つこともあります 3.ワークアラウンド 当 該 脆 弱 性 を 修 正 する 以 外 の 方 法 で 脆 弱 性 による 影 響 を 回 避 低 減 する 方 法 です 例 えば ソフトウエア 製 品 においては 脆 弱 性 のある 機 能 の 無 効 化 や 代 替 ソフト ウエアへの 移 行 等 があります ウェブサイトにおいては 脆 弱 性 の 影 響 を 受 ける サービスの 停 止 や WAF(ウェブ アプリケーション ファイアウォール)の 導 入 等 があります 4.パッチ 脆 弱 性 を 有 するソフトウエアから 脆 弱 性 を 解 消 するためにソフトウエアに 対 し て 適 用 する 差 分 のソフトウエアあるいはデータを 指 します 5.ウェブサイト 運 営 者 26

29 付 録 1 用 語 の 解 説 ウェブサイト 運 営 者 とは 脆 弱 性 関 連 情 報 が 発 見 されたウェブアプリケーション を 運 営 する 主 体 です( 例 えば ウェブサイト のウェブ サイト 運 営 者 は IPA です) ウェブサイトの 管 理 を 外 部 の 事 業 者 に 委 託 している 場 合 でも あくまで 委 託 元 がウェブアプリケーションを 運 営 する 主 体 でありウェブ サイト 運 営 者 となります 6.プロトコルの 実 装 に 係 わる 脆 弱 性 過 去 に 脆 弱 性 の 報 告 があったプロトコルに 関 連 する 脆 弱 性 の 主 なものを 以 下 に 挙 げます (1) H.323 に 係 わる 脆 弱 性 (2) SSH2 に 係 わる 脆 弱 性 (3) OpenSSL に 係 わる 脆 弱 性 (4) ASN.1 に 係 わる 脆 弱 性 7.ウェブサイトの 不 適 切 な 運 用 ウェブサイトの 不 適 切 な 運 用 の 例 を 以 下 に 挙 げます ウェブサイトにおいて 本 来 提 供 するべき 対 象 外 の 機 能 (ウェブ 管 理 画 面 等 ) やファイル( 個 人 情 報 ファイル 等 )が アクセス 制 限 なしに 公 開 されており セ キュリティが 維 持 できなくなっている ウェブサイトで 使 用 されているソフトウエア 製 品 に 脆 弱 性 が 存 在 している サービスを 行 っていないウェブサイトの 脆 弱 性 が 放 置 されている 27

30 付 録 2 脆 弱 性 情 報 取 扱 いのフロー 付 録 2 脆 弱 性 情 報 取 扱 いのフロー ソフトウエア 製 品 ウェブアプリケーションそれぞれの 脆 弱 性 情 報 取 扱 いに 関 する 全 体 的 な 流 れを 図 3 図 4に 示 す 28

31 付 録 2 脆 弱 性 情 報 取 扱 いのフロー 29

32 付 録 2 脆 弱 性 情 報 取 扱 いのフロー 30

33 付 録 3 法 的 な 論 点 について 付 録 3 法 的 な 論 点 について 1 発 見 者 が 心 得 ておくべき 法 的 な 論 点 発 見 者 が 心 得 ておくべき 法 的 な 問 題 に 関 する 法 律 専 門 家 の 見 解 を 述 べます 1-1. 脆 弱 性 関 連 情 報 の 発 見 に 際 しての 法 的 な 問 題 (1) 関 係 する 行 為 と 法 令 の 関 係 a) ネットワークを 用 いた 不 正 例 えば 脆 弱 性 関 連 情 報 を 利 用 して アクセス 制 御 機 能 を 回 避 し インターネット 等 を 介 してシステムにアクセスした 場 合 には 不 正 ア クセス 禁 止 法 ( 不 正 アクセス 行 為 の 禁 止 等 に 関 する 法 律 )に 抵 触 しま す 例 えば 管 理 者 の 了 解 無 く 他 人 のパスワードを 取 得 し それを 用 いて 権 限 なしでシステムにアクセスした 場 合 には 不 正 アクセス 禁 止 法 に 抵 触 します 故 意 にサーバの 機 能 や 性 能 の 異 常 を 来 たそうとして 何 らかの 行 為 を なし コンピュータの 性 能 を 低 下 させたりした 場 合 刑 法 上 の 偽 計 (も しくは 威 力 ) 業 務 妨 害 罪 に 抵 触 する 可 能 性 があります さらに その 妨 害 の 程 度 によっては 刑 法 の 電 子 計 算 機 損 壊 等 業 務 妨 害 罪 にも 抵 触 すると 解 される 可 能 性 があります b) 暗 号 化 されている 無 線 通 信 の 復 号 化 暗 号 化 されている 無 線 通 信 を 傍 受 し 復 号 する 行 為 ( 無 線 LAN の WEP キーの 解 読 等 )は 電 波 法 109 条 の 2 に 触 れる 可 能 性 があります (2) 不 正 アクセス 禁 止 法 に 抵 触 しないと 推 察 される 行 為 の 例 脆 弱 性 の 発 見 に 最 も 関 係 が 深 い 不 正 アクセス 禁 止 法 に 対 しては 慎 重 な 扱 いが 求 められます といっても 脆 弱 性 を 発 見 する 際 に 必 ずしも 不 正 アクセス 禁 止 法 に 抵 触 するとは 限 りません 以 下 に 不 正 アクセス 禁 止 法 に 抵 触 しないと 推 察 される 行 為 の 例 を 挙 げます 1) ウェブアプリケーションの 利 用 権 者 が 正 規 の 手 順 でログインする 等 して 通 常 のアクセスをした 際 に ブラウザとサーバとの 通 信 の 内 容 を 観 察 した ところ それだけで 脆 弱 性 の 存 在 を 推 定 できた 場 合 2) ウェブページのデータ 入 力 欄 に HTML のタグを 含 む 文 字 列 を 入 力 したとこ ろ 入 力 した 文 字 列 がそのまま 表 示 された この 段 階 ではアクセス 制 御 機 31

34 付 録 3 法 的 な 論 点 について 能 の 制 限 を 回 避 するに 至 らなかったが 悪 意 ある 者 に 別 の 文 字 列 を 入 力 さ れれば このサイトにセキュリティ 上 の 問 題 が 引 き 起 こされかねないと 予 想 できた 場 合 3) アクセス 制 御 による 制 限 を 免 れる 目 的 ではなく 通 常 の 自 由 なページ 閲 覧 を 目 的 として 日 付 やページ 番 号 等 を 表 すと 推 察 される URL 中 の 数 字 列 を 別 の 数 字 に 差 し 替 えてアクセスしてみたところ 社 会 通 念 上 本 来 は 利 用 できてはならないはずと 推 定 される 結 果 が 偶 発 的 に 起 きてしまった 場 合 (ただし 積 極 的 に 多 数 の 数 字 列 を 変 えて 試 す 行 為 等 は 制 限 を 免 れる 目 的 とみなされる 可 能 性 があります ) (3)IPA の 対 応 と 発 見 者 の 法 的 責 任 IPA は 脆 弱 性 関 連 情 報 の 入 手 方 法 に 関 して 関 知 しません ただし 違 法 な 手 段 で 入 手 されたことが 明 白 な 脆 弱 性 関 連 情 報 に 関 しては 受 け 付 けないこ とがあります また IPA が 脆 弱 性 関 連 情 報 を 受 け 付 けた 場 合 でも IPA は 脆 弱 性 関 連 情 報 の 入 手 手 段 に 関 して 合 法 であると 判 断 したわけではありません さらに IPA が 脆 弱 性 関 連 情 報 を 受 け 付 けた 場 合 発 見 者 の 脆 弱 性 関 連 情 報 の 発 見 に 係 る 法 的 責 任 が 免 責 されるわけではありません 1-2. 脆 弱 性 関 連 情 報 の 管 理 に 際 しての 法 的 な 問 題 発 見 者 の 脆 弱 性 関 連 情 報 の 管 理 に 際 しては 以 下 の 法 的 な 問 題 への 注 意 が 必 要 です 1) 脆 弱 性 についての 調 査 報 告 は その 率 直 な 交 換 により ソフトウエアや ウェブアプリケーションシステムのセキュリティが 結 果 として 強 化 さ れ 向 上 するという 側 面 があります 2) しかしながら その 情 報 については 悪 用 というデメリットがあるので その 点 についての 十 分 な 配 慮 がなされるべきであり その 一 つの 方 向 性 を 提 唱 するのが このガイドラインといえます 3) また 情 報 自 体 そのような 性 格 をもつので 発 見 者 についても 脆 弱 性 関 連 情 報 の 管 理 について 真 摯 な 態 度 が 必 要 とされます 4) そのような 真 摯 な 態 度 を 保 つ 限 り 脆 弱 性 関 連 情 報 についての 調 査 報 告 は 社 会 的 に 有 用 なものと 考 えられます 32

35 付 録 3 法 的 な 論 点 について しかしながら 管 理 について 真 摯 な 態 度 を 欠 く 場 合 については 上 述 の 限 りではありません そのような 真 摯 な 態 度 を 欠 く 場 合 の 具 体 的 な 例 として 以 下 があります a) 脆 弱 性 関 連 情 報 の 公 表 は その 情 報 の 内 容 が 真 実 と 異 なることを 知 っ ていた 場 合 あるいは, 真 実 である 場 合 であっても 特 定 人 の 名 誉 を 毀 損 する 意 図 で 公 表 がなされ かつ 公 共 の 利 益 と 無 関 係 である 場 合 には 刑 法 の 名 誉 毀 損 罪 に 触 れる 可 能 性 があります b) 特 定 人 の 信 用 を 毀 損 する 意 図 で 事 実 と 異 なる 脆 弱 性 関 連 情 報 を 事 実 と 異 なると 認 識 して 公 表 がなされる 場 合 には 刑 法 の 信 用 毀 損 罪 に 触 れる 可 能 性 があります c) 通 常 人 に 求 められる 程 度 の 相 当 の 注 意 をもって 調 査 検 証 したりした のではなしに 脆 弱 性 関 連 情 報 であるとして 公 表 し かつ 脆 弱 性 関 連 情 報 の 開 示 に 起 因 して 損 害 が 発 生 した 場 合 損 害 賠 償 責 任 等 の 民 事 責 任 を 追 及 される 可 能 性 があります 2 製 品 開 発 者 が 心 得 ておくべき 法 的 な 論 点 製 品 開 発 者 が 心 得 ておくべき 法 的 な 問 題 に 関 する 法 律 専 門 家 の 見 解 を 述 べま す (1)ソフトウエアの 提 供 行 為 についていえば セキュリティに 問 題 が 生 じず 日 頃 の 運 用 で 安 心 して 使 えるというレベルのソフトウエアを 提 供 することが 法 律 上 債 務 の 本 旨 に 従 った 履 行 ( 民 法 415 条 )として 求 められています (2)もし 提 供 したソフトウエアにおいて 設 計 上 の 問 題 プログラミング 上 の 問 題 運 用 上 の 問 題 の 如 何 を 問 わず 社 会 通 念 上 安 心 して 使 えるというレ ベルにいたらない 箇 所 が 生 じている 場 合 には その 点 に 対 してサポートの 約 定 の 趣 旨 に 従 い 対 策 をすべきことが 求 められます (3)もっともその 対 策 方 法 の 選 択 については 種 々の 考 慮 が 必 要 になります この 対 策 方 法 の 選 択 に 際 しては 以 下 の 点 を 論 点 として 意 識 する 必 要 があり ます (a) 上 記 の 対 策 方 法 の 選 択 について 状 況 に 応 じて 債 務 不 履 行 責 任 ( 民 法 4 15 条 ) 不 法 行 為 責 任 ( 民 法 709 条 ) 瑕 疵 担 保 責 任 ( 同 法 570 条 566 条 商 法 526 条 1 項 等 )の 対 象 となる 可 能 性 があります (b) 提 供 の 際 の 契 約 で これを 免 除 する 場 合 については 消 費 者 契 約 法 の 適 33

36 付 録 3 法 的 な 論 点 について 用 がある 場 合 には 責 任 の 全 部 免 除 が 認 められない 場 合 がありえます (c) 製 造 物 責 任 法 上 の 問 題 として 現 時 点 において ソフトウエアそれ 自 体 については 製 造 物 責 任 が 問 われないと 一 般 に 解 釈 されていますが 電 気 機 器 や 電 子 部 品 その 他 の 工 業 製 品 等 に 組 み 込 まれたソフトウエアは 動 産 である 製 造 物 ですので 製 造 物 責 任 法 に 定 める 責 任 規 定 の 適 用 がなされ ることがありえます 3 ウェブサイト 運 営 者 が 心 得 ておくべき 法 的 な 論 点 ウェブサイト 運 営 者 が 心 得 ておくべき 法 的 な 問 題 に 関 する 法 律 専 門 家 の 見 解 を 述 べます 1)ウェブサイト 運 営 者 と ウェブサイト 利 用 者 との 間 においては そのウェブ アプリケーションの 利 用 に 際 して 一 定 の 契 約 関 係 にはいると 考 えられます そして ウェブサイト 利 用 者 が そのサイトに 一 定 の 個 人 情 報 等 をゆだねる 場 合 には ウェブサイト 運 営 者 は そのサイトの 利 用 契 約 に 付 随 した 義 務 と して 一 定 レベルのセキュリティ 維 持 を 果 たすべき 義 務 を 負 担 していると 考 えることができます 2) 各 サイトに プライバシポリシ 等 が 記 載 されている 場 合 には その 内 容 を も 前 提 にウェブサイト 利 用 者 とウェブサイト 運 営 者 は 契 約 関 係 にはいると 考 えられます 3)この 場 合 ウェブサイト 運 営 者 において 上 記 のセキュリティ 維 持 等 につい て 過 失 が 有 る 場 合 その 過 失 による 損 害 賠 償 の 責 めを 免 れるような 規 定 は 消 費 者 契 約 法 上 全 部 免 責 の 規 定 については 無 効 となることがあります 34

37 付 録 4 ソフトウエア 製 品 における 連 絡 不 能 案 件 の 取 扱 いについて 付 録 4 ソフトウエア 製 品 における 連 絡 不 能 案 件 の 取 扱 いについて 1 連 絡 不 能 開 発 者 一 覧 の 公 表 2 製 品 開 発 者 名 や 製 品 開 発 者 を 特 定 できるような 情 報 を 公 表 することで 掲 載 された 製 品 開 発 者 からの 連 絡 を 求 めていることを 周 知 します 想 定 読 者 は 製 品 開 発 者 本 人 です 製 品 開 発 者 情 報 公 開 調 査 概 要 IPA( 独 立 行 政 法 人 情 報 処 理 推 進 機 構 )および JPCERT コーディネーションセン ターでは 情 報 セキュリティ 早 期 警 戒 パートナーシップに 基 づいて 届 出 られた ソフトウエア 製 品 の 製 品 開 発 者 またはその 関 係 者 からのご 連 絡 を 求 めていま す 調 査 対 象 情 報 セキュリティ 早 期 警 戒 パートナーシップに 基 づいて 届 けられたソフトウエ ア 製 品 で インターネット 等 から 入 手 し 得 る 情 報 では 連 絡 が 取 れない 以 下 の 一 覧 に 掲 載 されている 製 品 開 発 者 またはその 関 係 者 が 調 査 対 象 です 連 絡 先 Subject に 問 い 合 わせ 番 号 を 明 記 し jvn@jvn.jp 宛 に ご 連 絡 ください 連 絡 不 能 開 発 者 一 覧 問 合 せ 番 号 開 発 者 名 関 連 情 報 一 覧 追 加 日 製 品 情 報 備 考 DID#AAAA AAA - YYYY/MM/DD - - DID#BBBB BBB - YYYY/MM/DD - - DID#CCCC - - YYYY/MM/DD - XXXXX の 製 品 開 発 者 DID#DDDD - YYYY/MM/DD YYYY/MM/ YYYYY の 製 品 DD( 開 示 ) 開 発 者 DID#EEEE EEE YYYY/MM/DD YYYY/MM/ DD( 開 示 ) ZZZZZ の 製 品 開 発 者 2 連 絡 不 能 開 発 者 一 覧 35

38 付 録 4 ソフトウエア 製 品 における 連 絡 不 能 案 件 の 取 扱 いについて 2 対 象 製 品 情 報 の 公 表 と 関 係 者 へのお 願 い 製 品 開 発 者 名 や 製 品 開 発 者 を 特 定 できるような 情 報 に 加 えて 具 体 的 な 対 象 製 品 の 名 称 やバージョンを 公 表 することで 製 品 開 発 者 だけでなく 製 品 関 係 者 からの 連 絡 を 求 めていることを 周 知 します 想 定 読 者 は 製 品 開 発 者 本 人 または 製 品 開 発 者 との 連 絡 方 法 を 知 っている 方 です 対 象 が 企 業 の 場 合 XXXXX の 製 品 開 発 者 に 関 する 情 報 製 品 名 xxx バージョン xxxx の 作 者 または 著 作 権 を 有 している 製 品 開 発 者 の 方 または 販 売 代 理 店 等 本 製 品 に 関 係 する 方 は 下 記 の 宛 先 までご 連 絡 をお 願 いします 連 絡 先 : jvn@jvn.jp 公 開 日 :yyyy 年 mm 月 dd 日 対 象 が 企 業 の 場 合 ( 連 絡 期 限 追 記 ) XXXXX の 製 品 開 発 者 に 関 する 情 報 製 品 名 xxx バージョン xxxx の 作 者 または 著 作 権 を 有 している 製 品 開 発 者 の 方 または 販 売 代 理 店 等 本 製 品 に 関 係 する 方 は 下 記 の 宛 先 までご 連 絡 をお 願 いします 本 件 に 関 するご 連 絡 は yyyy 年 mm 月 dd 日 まで 受 け 付 けます なお yyyy 年 mm 月 dd 日 までにご 連 絡 をいただけなかった 場 合 は 製 品 開 発 者 と 連 絡 がとれないため 連 絡 不 能 と 判 断 し 情 報 セキュリティ 早 期 警 戒 パートナ ーシップガイドライン の Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 の 記 載 に 準 じて 取 り 扱 います 連 絡 先 : jvn@jvn.jp 公 開 日 :yyyy 年 mm 月 dd 日 更 新 日 :yyyy 年 mm 月 dd 日 ( 連 絡 期 限 追 記 ) 36

39 付 録 4 ソフトウエア 製 品 における 連 絡 不 能 案 件 の 取 扱 いについて 対 象 が 非 企 業 (コミュニティを 含 む)の 場 合 XXXXX の 製 品 開 発 者 に 関 する 情 報 製 品 名 xxx バージョン xxxx の 作 者 または 著 作 権 を 有 している 製 品 開 発 者 の 方 または 製 品 開 発 者 との 連 絡 方 法 をご 存 じの 方 は 下 記 の 宛 先 までご 連 絡 を お 願 いします また 同 製 品 の 派 生 関 連 製 品 のコミュニティに 所 属 する 製 品 開 発 者 の 方 で 修 正 版 の 提 供 が 可 能 な 方 からのご 連 絡 もお 待 ちしています 連 絡 先 : jvn@jvn.jp 公 開 日 :yyyy 年 mm 月 dd 日 対 象 が 非 企 業 (コミュニティを 含 む)の 場 合 ( 連 絡 期 限 追 記 ) XXXXX の 製 品 開 発 者 に 関 する 情 報 製 品 名 xxx バージョン xxxx の 作 者 または 著 作 権 を 有 している 製 品 開 発 者 の 方 または 製 品 開 発 者 との 連 絡 方 法 をご 存 じの 方 は 下 記 の 宛 先 までご 連 絡 を お 願 いします また 同 製 品 の 派 生 関 連 製 品 のコミュニティに 所 属 する 製 品 開 発 者 の 方 で 修 正 版 の 提 供 が 可 能 な 方 からのご 連 絡 もお 待 ちしています 本 件 に 関 するご 連 絡 は yyyy 年 mm 月 dd 日 まで 受 け 付 けます なお yyyy 年 mm 月 dd 日 までにご 連 絡 をいただけなかった 場 合 は 製 品 開 発 者 と 連 絡 がとれないため 連 絡 不 能 と 判 断 し 情 報 セキュリティ 早 期 警 戒 パートナ ーシップガイドライン の Ⅳ.ソフトウエア 製 品 に 係 る 脆 弱 性 関 連 情 報 取 扱 の 記 載 に 準 じて 取 り 扱 います 連 絡 先 : jvn@jvn.jp 公 開 日 :yyyy 年 mm 月 dd 日 更 新 日 :yyyy 年 mm 月 dd 日 ( 連 絡 期 限 追 記 ) 37

40 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 1. ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 とベンダ ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 として ISO/IEC 29147:2014 (vulnerability disclosure) ISO/IEC 30111:2013 (vulnerability handling processes)が 規 格 化 されました 今 後 我 が 国 のベンダがグローバルな 事 業 展 開 を 図 る 場 合 には これらの 国 際 標 準 に 対 応 する 必 要 性 が 高 まります たとえば 海 外 の 調 達 案 件 等 において 顧 客 側 から 脆 弱 性 対 応 に 関 する 取 組 みについて 説 明 を 要 求 された 場 合 ベンダ として 国 際 標 準 に 対 応 した 体 制 取 組 みを 行 っていることを 説 明 することで 円 滑 な 理 解 が 得 られると 考 えられます また 自 社 の 脆 弱 性 の 公 開 ポリシーを 公 表 することで 発 見 者 の 協 力 を 得 る 効 果 も 期 待 できます 2. 国 際 標 準 の 概 要 ISO/IEC 29147:2014 はソフトウエア 製 品 に 係 わる 事 業 者 ( 製 品 開 発 者 オン ラインサービス 事 業 者 (4.(1) 参 照 ) 中 間 ベンダ(4.(4) 参 照 ) 等 を 指 す 以 下 ベンダ という )の 脆 弱 性 に 関 する 社 外 とのやりとり( 外 部 からの 脆 弱 性 に 関 する 情 報 の 受 領 ユーザに 対 する 脆 弱 性 対 策 のアドバイザリ 配 布 等 )を 規 定 しています 一 方 ISO/IEC 30111:2013 はベンダの 社 内 での 脆 弱 性 取 扱 いのプ ロセス( 脆 弱 性 の 検 証 脆 弱 性 対 策 の 開 発 等 )の 指 針 を 提 供 します これらの 関 係 を 次 の 図 に 示 します 38

41 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 図 1 ISO/IEC と ISO/IEC の 対 応 ( 出 所 :ISO/IEC 29147:2014 を 元 に 作 成 ) 3. 情 報 セキュリティ 早 期 警 戒 パートナーシップと 国 際 標 準 の 関 係 これらの 国 際 標 準 は 情 報 セキュリティ 早 期 警 戒 パートナーシップの 取 組 み と 比 較 して 大 きな 矛 盾 や 不 整 合 はありません したがって 情 報 セキュリテ ィ 早 期 警 戒 パートナーシップガイドライン( 以 下 P ガイドライン という ) に 沿 って 脆 弱 性 を 取 り 扱 っているベンダが 国 際 標 準 に 対 応 することも 可 能 です ただし ISO/IEC 29147:2014 への 対 応 については 細 かいレベルで 留 意 すべ き 事 項 が 指 摘 されています そこで 本 資 料 では P ガイドラインに 対 応 してい るベンダが ISO/IEC 29147:2014 にも 対 応 しようとする 場 合 に 留 意 すべき 事 項 に ついて 補 足 します 39

42 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 4.ISO/IEC 29147:2014 について 留 意 すべき 事 項 P ガイドラインに 対 応 しているベンダが ISO/IEC 29147:2014 にも 対 応 しよう とする 場 合 に 留 意 すべき 事 項 についてまとめると 次 のようになります 留 意 すべき 事 項 ISO/IEC 対 応 に 取 り 組 む 場 合 の 留 意 点 全 体 グローバルな 事 業 展 開 を 図 るベンダにおいては 脆 弱 性 取 扱 いについ て 国 際 標 準 に 対 応 していることを 顧 客 に 説 明 する 必 要 性 が 高 まって いることがヒアリング 調 査 から 裏 付 けられた オンラインサー 脆 弱 性 対 策 を 適 用 したことについて 文 書 化 し 記 録 として 残 す ビス クラウド 事 業 者 の 場 合 顧 客 の 利 用 環 境 への 影 響 を 考 慮 し ソフトウ エアの 更 新 については 事 前 に 周 知 することが 重 要 脆 弱 性 公 開 ポリ 脆 弱 性 公 開 ポリシーを 策 定 し その 一 部 を 公 開 する シー 脆 弱 性 公 開 ポリシーには ベンダへの 連 絡 方 法 セキュアな 通 信 オプ ション 予 想 されるやり 取 りの 説 明 脆 弱 性 と 思 われる 届 出 を 行 う 際 に 役 立 つ 可 能 性 がある 情 報 範 囲 外 のサービス 届 出 をどうやって 追 跡 するかを 含 める 脆 弱 性 公 開 ポリシーの 一 部 を 公 開 することにより 発 見 者 から 直 接 脆 弱 性 が 届 け 出 られる 可 能 性 も 高 まる 届 け 出 られた 脆 弱 性 が 他 のベンダの 供 給 する 部 品 に 内 包 されている ケースも 考 えられるため そうした 場 合 の 対 応 についてもあらかじめ 検 討 しておく 脆 弱 性 の 受 領 脆 弱 性 公 開 ポリシーに 則 り 発 見 者 や 調 整 機 関 から 脆 弱 性 の 届 出 を 受 け 付 ける 対 外 的 な 窓 口 を 用 意 する その 上 で 脆 弱 性 の 届 出 を 受 信 した 際 には 受 信 した 旨 を 7 日 以 内 に 返 信 する お 盆 正 月 などの 長 期 休 暇 の 際 は 7 日 以 内 に 対 応 するのが 難 しい 可 能 性 がある 中 間 ベンダ ベンダは 中 間 ベンダに 求 められる 対 応 ( 脆 弱 性 の 問 題 の 切 り 分 け 他 のベンダとの 調 整 を 行 うこと 発 見 者 調 整 機 関 に 調 整 状 況 と 今 後 の 進 め 方 について 説 明 すること)に 取 り 組 む 中 間 ベンダとして 他 のベンダの 商 材 を 扱 う 場 合 それらに 自 社 の 脆 弱 性 対 応 基 準 を 適 用 するのは 難 しく 実 際 には 対 応 を 要 請 するに 留 まる ことが 多 い クラウド 事 業 者 によっては パートナー 向 けに 審 査 基 準 を 公 開 し そ れに 準 拠 するよう 要 請 しているケースもある 40

43 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 以 下 に これらの 詳 細 について 説 明 します (1) オンラインサービス ISO/IEC 29147:2014 における オンラインサービス についての 記 載 を 引 用 します 章 節 内 容 3 Terms and 3.4 online services definitions service which is implemented by hardware, software, or a combination 3 用 語 と 定 義 of them and provided over a communication line or network Note 1 to entry: The vendor of an online service may also be referred to as a service provider. Online services are similar to products in that both are primarily software systems. Two main distinctions are that a service often appears to users as a single instance of software and that users do not install, manage, or deploy the software, but they only use the service. 3.4 オンラインサービス ハードウエア ソフトウエア 又 はその 組 み 合 わせによって 実 装 され 通 信 回 線 又 はネットワーク 経 由 で 提 供 されるサービス 注 記 1 オンラインサービスのベンダは サービスプロバイダと 呼 ばれる こともある オンラインサービスと 製 品 は 両 者 とも 主 にソフトウエア システムであるという 点 で 似 ている 両 者 の 主 な 違 いは サービスはユ ーザにとって 1 つのソフトウエアのように 見 えるという 点 と ユーザは ソフトウエアのインストール 管 理 又 は 展 開 を 行 わず サービスを 利 用 するだけという 点 である 5.5 Vulnerability disclosure process summary 5.5 脆 弱 性 公 開 プロセスの 要 約 Release phase The vendor deploys the remediation. In an online service, the vendor deploys the remediation and documents the event 公 開 フェーズ ベンダは 対 策 を 展 開 する オンラインサービスの 場 合 ベンダは 対 策 を 展 開 し その 事 象 について 文 書 化 して 記 録 として 残 す 3 ( 出 所 :ISO/IEC 29147:2014 を 元 に 作 成 ) 表 中 3.4 節 の 定 義 から オンラインサービスの 事 業 者 には クラウド 事 業 者 EC モール 事 業 者 ウェブサイト 運 営 者 等 が 含 まれます オンラインサービスの 場 合 P ガイドライン 上 は 対 策 の 適 用 以 上 の 取 組 みを 求 めていません 4 しかし オンラインサービス 事 業 者 が 何 らかの 理 由 で ISO/IEC 29147:2014 対 応 に 取 り 組 む 場 合 脆 弱 性 対 策 を 適 用 したことについて 文 書 化 し 記 録 として 残 すことが 望 まれます さらにクラウド 事 業 者 の 場 合 顧 客 の 利 用 環 境 への 影 響 を 考 慮 し 3 必 ずしも 公 表 を 意 味 しているわけではない 4 個 人 情 報 漏 洩 等 の 事 案 が 起 きた 可 能 性 がある 場 合 は 二 次 被 害 を 防 止 するため 公 表 を 要 請 している 41

44 付 録 5 ソフトウエアの 脆 弱 性 の 取 扱 いに 関 する 国 際 標 準 への 対 応 ソフトウエアの 更 新 については 事 前 に 周 知 することが 重 要 です (2) 脆 弱 性 公 開 ポリシー ISO/IEC 29147:2014 における 脆 弱 性 公 開 ポリシー についての 記 載 を 引 用 します 章 節 6 Vulnerability disclosure policy considerations 6 脆 弱 性 公 開 ポ リシーに 関 する 考 察 内 容 6.1 General Vendors should define their responsibilities in the vulnerability disclosure policy. Vendors should publicize their vulnerability disclosure policy or point to an existing public vulnerability disclosure policy. 6.1 概 要 ベンダは 脆 弱 性 公 開 ポリシーにおける 責 任 を 定 義 する 必 要 がある ベ ンダは 自 身 の 脆 弱 性 公 開 ポリシーを 公 表 する もしくは 既 存 の 一 般 的 な 脆 弱 性 公 開 ポリシーを 示 す 必 要 がある 6.2 Minimum policy aspects A vendor should create an overall vulnerability disclosure policy, but they may choose to publicize only select sections if the internal policy contains sensitive information. A vulnerability disclosure policy should, at least, include information about the following. a) How the vendor would like to be contacted Vendors who adopt a policy of vulnerability disclosure will typically offer a security website or page. This website/page provides information on the vendor s accepted method(s) for receiving vulnerability information from a finder. Contact information might include one or more of the following: 1) address;( 例 示 は 省 略 ) 2) Phone number; 3) Web form. ( 以 下 タイトルのみ 抜 粋 ) b) Secure communication options c) Setting communication expectations d) Information that would be useful when submitting a possible vulnerability report e) Out-of-scope services f) How submitted reports are tracked 6.2 最 少 限 のポリシーの 要 素 ベンダは 脆 弱 性 公 開 ポリシーを 策 定 するが ポリシーが 機 微 な 情 報 を 含 むこともあるため 公 開 するのはその 一 部 だけとしてもよい 脆 弱 性 公 開 ポリシーは 少 なくとも 以 下 の 情 報 を 含 める: 42