JPCERT/CC、脆弱性関連情報取扱いガイドライン改訂版を公開

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は、我が国における脆弱性関連情報の適切な流通を図るための枠組みである「情報セキュリティ早期警戒パートナーシップ」のガイドラインの改定を受けて、2009年7月10日、脆弱性関連情報の取扱いに関する製品開発者向けのルールや運用手順などを定めた「JPCERT/CC 脆弱性関連情報取扱いガイドライン」（PDF）を改定し、公開した。

JPCERT/CC は、2004年の経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づく情報セキュリティ早期警戒パートナーシップの運用開始当初から、ソフトウエア製品などに関する脆弱性関連情報を取り扱う調整機関として、受付機関に指定されている IPA（独立行政法人情報処理推進機構）とともに、制度運用の中核を担ってきた。

この制度における脆弱性関連情報の流通の枠組みは、世界でも先駆的な取り組みとして着実に成果を上げてきていているが、届け出られたソフトウエア製品などに関する脆弱性に関し、対象製品の開発者に連絡が取れないなどの理由により調整が進捗しない場合の対応手順がガイドラインに規定されていなかったことから、当該脆弱性に関する対策情報の公表が行えず、利用者が脆弱な製品をそれと知らずに使い続けるケースがあり、問題となっていた。

今回の改定は、2008年度の「情報システム等の脆弱性情報の取扱いに関する研究会」（座長：土居範久、中央大学教授）における検討結果を受けて公表された「情報セキュリティ早期警戒パートナーシップガイドライン 2009年度版」の改定内容を反映させたものであり、脆弱性のある製品の開発者に連絡が取れない場合における脆弱性関連情報の公表などの取扱いを追記している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール