独立行政法人情報処理推進機構(IPA)及び一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月18日、「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を発表した。
「情報セキュリティ早期警戒パートナーシップ」は、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号、最終改正令和6年経済産業省告示第93号)の告示を踏まえ、国内におけるソフトウェア等の脆弱性関連情報を適切に流通させるために作られている枠組み。IPA、JPCERT/CC、一般社団法人電子情報技術産業協会(JEITA)、一般社団法人 ソフトウェア協会(SAJ)、一般社団法人情報サービス産業協会(JISA)、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)では、脆弱性関連情報の適切な流通でウイルスや不正アクセスなどによる被害発生を抑制するために、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。
同ガイドラインでは、発見者、IPA及びJPCERT/CC、製品開発者、ウェブサイト運営者等の関係者に推奨する行為がとりまとめられており、脆弱性の発見者は脆弱性関連情報を届出する際に、製品開発者及びウェブサイト運営者は脆弱性関連情報に関する通知を受けた際に、同ガイドラインに則した対応をとることが求められている。
今回の改訂内容は下記の通り。
・悪用を示す情報に関する取扱いの整理
脆弱性の悪用を示す情報がある場合、製品開発者との協議のうえJVNで記載を実施
・公表判定委員会に係る手続の対象となる連絡不能案件の条件整理
検証ができない脆弱性等の取扱いについて整理
・優先情報提供に関する取扱いの規定改正の反映
IPAから実施する優先情報提供に関する規定の追加
上記規定の追加に伴う所要の修正
同ガイドラインでは、「脆弱性の悪用を示す情報に関する情報の取扱い等に関する検討結果の反映」として「発見者向けの規定」では、「(コ)その他、当該脆弱性情報に関する参考情報」の項目を追加し、当該脆弱性情報を取り扱う上で参考となる情報(製品の利用者数や重要インフラ事業者等の利用がある等の利用者の特性、当該脆弱性への攻撃の観測情報等)があれば、併せて提出するよう求めている。
