一般社団法人コンピュータソフトウェア協会

  1. Home >
  2. 最新情報 >
  3. 政策・ガイドライン等 >
  4. 官公庁・団体情報 >
  5. 情報システム等の脆弱性情報の取扱いにおける報告書、および法律面の調査報告書改訂版を公開

情報システム等の脆弱性情報の取扱いにおける報告書、および法律面の調査報告書改訂版を公開

2019.04.02

省庁・団体名

独立行政法人情報処理推進機構

概要

 IPAは、「情報システム等の脆弱性情報の取扱いに関する研究会」における2018年度の活動成果としてとりまとめた報告書や「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書改訂版」および、「情報セキュリティ早期警戒パートナーシップ(*1)ガイドライン」改訂版などを公開しました。

内容

 IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)において2015年度にとりまとめ公開した「新たな情報セキュリティ早期警戒パートナーシップ(*1)の基本構想」にあるパートナーシップ将来像の実現に向けたロードマップに則り、今年度は「優先情報提供の実績評価、提供先拡大に関する調査」について、検討しました。また、新たな課題である「ソフトウエア製品の脆弱性対処における実態調査および脆弱性対処の促進に関する調査」や「調整不能案件の一覧への掲載、公表手続きの改善に向けた検討」についても検討し、これらを踏まえた情報セキュリティ早期警戒パートナーシップガイドラインの改訂などに取り組みました。
 2018年度の研究会の活動成果として、以下の報告書などを公開しました。

情報システム等の脆弱性情報の取扱いに関する研究会 2018年度報告書

2018年度研究会の活動成果をまとめた報告書を公開しました。

報告書の構成(目次)

1. 情報セキュリティ早期警戒パートナーシップの現状と課題
 1.1. 背景
 1.2. 運用の状況
 1.3. 本年度研究会における検討
2. ソフトウエア製品の脆弱性対処における実態調査および脆弱性対処の促進に関する調査
 2.1. 調査の概要
 2.2. 調査結果
3. 「優先情報提供」の実績評価、提供先拡大に関する調査
 3.1. 調査の概要
 3.2. アンケート調査
 3.3. ヒアリング調査
 3.4. 優先情報提供制度課題整理、改善策・有効性を高める方策
 3.5. 新たな手続き方法に関する調査
4. 調整不能案件の一覧への掲載、公表手続きの改善に向けた検討
 4.1. 調査の概要
 4.2. 調査結果
5. 法的課題の整理
 5.1. 調査の概要
 5.2. 調査結果
6. パートナーシップガイドラインの改訂等に関する調査
 6.1. 調査結果

参考1 2018年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2 脆弱性研究会の検討経緯

法律面の調査報告書 改訂版

 近年の法整備・改正を踏まえ、パートナーシップに詳しい法務専門家が主導する形で、法的な観点からパートナーシップの法的解釈について再度整理を行いました。主な整理項目は下記の通りです。

第1章 脆弱性情報と取扱いルールと法律とのかかわり

第2章 「情報セキュリティ早期警戒パートナーシップガイドライン」における法的関連記述の逐条解説

 パートナーシップガイドライン上の法律に関係する解説については、2004年に公表した「情報システム等の脆弱性情報の取扱いにおける法律面の調査報告書」の内容を改定する形で、「法律面の調査報告書 改訂版」として取りまとめ公開しました。

資料の構成(目次)

1. 脆弱性情報の取扱いルールと法律とのかかわり
 1.1. 総論
 1.2. 脆弱性情報取扱い体制の法的意味
 1.3. 脆弱性の意義と諸問題
 1.4. 脆弱性情報発見・通知と契約法の問題
 1.5. 脆弱性発見と不正アクセス、そして、届出の受理について
 1.6. 脆弱性発見・公開者と攻撃者によるセキュリティ侵害に対する不法行為
 1.7. 脆弱性発見・公開者の行為による開発者に対する不法行為
 1.8. 公表判定委員会の概要と趣旨について
 1.9. 取扱い基準関与者自身の法律問題

2.「情報セキュリティ早期警戒パートナーシップガイドライン」における法的関連記述の逐条解説

  1. はじめに
  2. 用語の定義と前提
  3. 本ガイドラインの適用の範囲
  4. ソフトウエア製品に係る脆弱性関連情報取扱
  5. ウェブアプリケーションに係る脆弱性関連情報取扱

付録3法的な論点について

  1. 発見者が心得ておくべき法的な論点
  2. 製品開発者が心得ておくべき法的な論点
  3. ウェブサイト運営者が心得ておくべき法的な論点

情報セキュリティ早期警戒パートナーシップガイドライン 改訂案

 情報セキュリティ早期警戒パートナーシップガイドラインについて、主に下記の3点を変更しました。

 詳しくは、「情報システム等の脆弱性情報の取扱いに関する研究会 2018年度報告書」を参照下さい。

脚注

(*1)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。

資料のダウンロード

2018年度 新規公開資料

関連資料

 前年度までの「情報システム等の脆弱性情報の取扱いに関する研究会」報告書

詳細

お問い合わせ

IPA セキュリティセンター 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7552