|
ソフトウェア製品開発ベンダー各位
平成16年12月3日
(社)日本パーソナルコンピュータソフトウェア協会
JPSA「製品開発ベンダーにおける脆弱性関連情報取扱に関する体制と手順整備のためのガイドライン」の公表について |
社団法人日本パーソナルコンピュータソフトウェア協会(JPSA)は、平成16年7月7日に経済産業省より告示された「ソフトウェア等脆弱性関連情報取扱基準」に基づいて、JPSA「製品開発ベンダーにおける脆弱性関連情報取扱に関する体制と手順整備のためのガイドライン」を公表いたしました。
セキュリティ上の「脆弱性」とは、ソフトウェア製品において、コンピュータ・ウイルスやコンピュータ不正アクセス等の攻撃により、その機能や性能を損なう原因となりうる安全性上の問題箇所です。ネットワーク攻撃に利用される可能性があるという点において、通常の不具合と区別されます。
我が国においては、脆弱性への対応の全体的な枠組みが存在しなかったため、脆弱性の公表に関する調整が不十分であるとともに、ソフトウェア等の脆弱性に関する発見・分析・対策策定を海外に依存しており、また、日本市場に固有のソフトウェアに関しては脆弱性の届出とフォローアップ体制が皆無に等しかったことが問題でありました。この問題に対し政府の「情報セキュリティ総合戦略」(平成15年10月発表)の提言に沿って、平成16年7月7日に経済産業省から「ソフトウェア等脆弱性関連情報取扱基準」が告示され、また7月8日には関係団体連名による「情報セキュリティ早期警戒パートナーシップガイドライン」が公表され、脆弱性への業界の取り組みをより円滑かつ効果的に進めるための脆弱性関連情報取扱体制が構築されるに至りました。
本ガイドラインは、平成16年10月に社団法人電子情報技術産業協会(JEITA)、社団法人情報サービス産業協会(JISA)が公表したガイドラインを参考にJPSA会員企業をはじめとするパソコンソフトウェアベンダーの事業の実態を考慮し、それにできるだけマッチする形を意識して、脆弱性関連情報に関する企業内においての取扱について基本的な取組の枠組みなどをまとめたものです。
パソコンソフトウェアベンダーにおかれては「情報セキュリティ早期警戒パートナーシップ」に賛同し、提供製品に関わる脆弱性への対応を率先かつ協調して進めるために必要な社内体制と業務手順を整備するために本ガイドラインを基本として是非ご活用いただきますようお願い致します。
 JPSA「製品開発ベンダーにおける脆弱性関連情報取扱に関する体制と手順整備のためのガイドライン」(PDF/306KB)
関連リンク
・経済産業省「脆弱性関連情報取扱体制」
URL:http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html
・独立行政法人情報処理開発機構(IPA)「脆弱性関連情報の取扱い」
URL:http://www.ipa.go.jp/security/vuln/index.html
・有限責任中間法人JPCERTコーディネーションセンター
URL:http://www.jpcert.or.jp/
・「情報セキュリティ早期警戒パートナーシップガイドライン」
URL:http://www.ipa.go.jp/security/ciadr/partnership_guide_200407.html
・JEITA・JISA「製品開発ベンダーにおける脆弱性関連情報取扱に関する体制を手順整備のためのガイドライン」
URL:http://it.jeita.or.jp/infosys/info/0407JEITA-guideline/index.html
|
