Tweet

ソフトウエア等脆弱性関連情報取扱基準

【ソフトウエア・トウ・ゼイジャクセイ・カンレン・ジョウホウ・トリアツカイ・キジュン】

別名
・ソフトウェア等脆弱性関連情報取扱基準 【ソフトウェア・トウ・ゼイジャクセイ・カンレン・ジョウホウ・トリアツカイ・キジュン】

　2004年7月7日に経済産業省が公示した、ソフトウェアなどの脆弱性情報を必要な機関間で流通させるための取り扱い基準。

　この基準が制定される以前は、脆弱性の公開についてのルールがなかったため、脆弱性の発見者が直接企業に報告したり、独自に公開したりするなどしていた。そのため、場合によっては脆弱性の対策が秘密裏に行われたり、攻撃をあおる結果になってしまったりと問題が起きることもあった。そこで、ルールの制定が望まれたことから、経済産業省がIPA（情報処理推進機構）に委託し、官民の関係有識者による「情報システム等の脆弱性情報の取扱いに関する研究会」を開催し、その結果「ソフトウエア等脆弱性関連情報取扱基準」がまとめられた。

　この基準により、届けられる脆弱性関連情報の受け付け機関としてIPA、脆弱性関連情報の製品開発者への連絡と公表に関わる調整機関としてJPCERTコーディネーションセンター（JPCERT/CC）がそれぞれ指定されている。ソフトウェアやWebサイトの脆弱性を発見した人は、IPAのWebサイトにある「脆弱性関連情報の取扱い」ページの記載に従って、IPAに届出を行うことになる。

　届けられた脆弱性関連情報は、IPAが発見者の窓口となり、関係機関と連絡を取りながら、JPCERT/CCが製品開発者／Webサイト管理者との間で調整、対応状況の発表などを行うとしている。

Copyright (C) 2000-2007 Digital Advantage Corp.