発見者に悪用など参考情報提出を求める ~「情報セキュリティ早期警戒パートナーシップガイドライン」改訂 | ScanNetSecurity
2024.07.25(木)

発見者に悪用など参考情報提出を求める ~「情報セキュリティ早期警戒パートナーシップガイドライン」改訂

 独立行政法人情報処理推進機構(IPA)及び一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月18日、「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を発表した。

調査・レポート・白書・ガイドライン
脆弱性の悪用を示す情報に関する情報の取扱い等に関する検討結果の反映

 独立行政法人情報処理推進機構(IPA)及び一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月18日、「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を発表した。

 「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組み。IPA、JPCERT/CC、一般社団法人電子情報技術産業協会(JEITA)、一般社団法人 ソフトウェア協会(SAJ)、一般社団法人情報サービス産業協会(JISA)、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)では、脆弱性関連情報の適切な流通でウイルスや不正アクセスなどによる被害発生を抑制するために、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。

 同ガイドラインでは、発見者、IPA及びJPCERT/CC、製品開発者、ウェブサイト運営者等の関係者に推奨する行為がとりまとめられており、脆弱性の発見者は脆弱性関連情報を届出する際に、製品開発者及びウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、同ガイドラインに則した対応をとることが求められている。

 今回の改訂内容は下記の通り。

・悪用を示す情報に関する取扱いの整理
脆弱性の悪用を示す情報がある場合、製品開発者との協議のうえJVNで記載を実施

・公表判定委員会に係る手続の対象となる連絡不能案件の条件整理
検証ができない脆弱性等の取扱いについて整理

・優先情報提供に関する取扱いの規定改正の反映
IPAから実施する優先情報提供に関する規定の追加
上記規定の追加に伴う所要の修正

 同ガイドラインでは、「脆弱性の悪用を示す情報に関する情報の取扱い等に関する検討結果の反映」として「発見者向けの規定」では、「(コ)その他、当該脆弱性情報に関する参考情報」の項目を追加し、当該脆弱性情報を取り扱う上で参考となる情報(製品の利用者数や重要インフラ事業者等の利用がある等の利用者の特性、当該脆弱性への攻撃の観測情報等)があれば、併せて提出するよう求めている。

《ScanNetSecurity》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. 2022年 日本人のサイバー犯罪被害総額 1千億円超、最多遭遇犯罪はフィッシング

    2022年 日本人のサイバー犯罪被害総額 1千億円超、最多遭遇犯罪はフィッシング

  2. 1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

    1,952 社から 9,208 件の報告 ~ 2023年度 Pマーク付与事業者の個人情報取扱いにおける事故

  3. ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

    ランサムウェアの種別特定やセカンドオピニオンも ~ セキュリティ企業も頼りにできる JPCERT/CC

  4. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  5. 迷惑メール対策推進協議会「送信ドメイン認証技術 DMARC導入ガイドライン」公表

  6. ISOG-J「脆弱性トリアージガイドライン作成の手引き」公開

  7. TwoFive が 2024年上半期「フィッシングトレンド」公開 ~「くらし TEPCO」 装い 未払い電気料金の支払い促すフィッシングサイト増加

  8. 2023 年度の情報セキュリティ市場は 1 兆 4,628 億円 9.8 %成長 ~ JNSA調査

  9. CrowdStrike、ウクライナ関係機関への破壊的オペレーションについて予測

  10. 拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×