2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
3. 用語及び定
義
3.2 調整機関
脆弱性情報の取扱い及び公開にあたって、ベンダと発見者を支援するオプ
ション的な関係者
[Pガイドラインは定義無・告示の記載は以下]
Ⅲ.本基準における関係者の定義/3.調整機関
脆弱性関連情報に関して、製品開発者への
連絡及び公表等に係る調整を行う機関
5. 概念
5.4.5 調整機
関
調整機関、ベンダと発見者の間を取り持ち、前向きなコミュニケーションと脆
弱性プロセスを促進するオプション的な関係者をいう。コンピュータセキュリ
ティインシデントレスポンスチーム(CSIRT)の中には、運用として脆弱性に関
する調整サービスを提供しているところもある。他のCSIRTは、事案ごとに調
整を支援する。調整サービスを提供するベンダもある。
調整機関が提供する主なサービスには以下を含む:
・発見者に対し、ベンダの特定と連絡を支援する
・複数ベンダに影響を及ぼす脆弱性に関する調整を行う
・届出を受けた脆弱性の技術的分析及び検証を行う
・アドバイザリを公表する
調整機関はしばしば顧客層を守ることに関心を寄せるが、技術的に客観的で
あり、全てのステークホルダーのリスクを軽減するよう努めるべきである。
3.6 製品 販売用の、又は無償で提供されるシステム又はサービス Ⅱ.用語の定義と前提/5.ソフトウエア製品
ソフトウエア自体又はソフトウエアを組み込ん
だハードウエア等の汎用性を有する製品のこ
とです。ただし、オープンソースソフトウエアの
ように技術情報を統括する企業が一社に定ま
らないもの、複数の者又は団体によりその改
善が行われるものも含みます。具体例は、付
録4に示します。
5.3.1 製品 製品とは、ベンダからユーザに有償又は無償で提供されるソフトウェア又はシ
ステムをいう。製品には特定のユーザとの契約によって個別に開発されるソ
フトウェア、ライセンス形態のもの、他の製品で使われることを想定したライブ
ラリ、商用既製品(COTS)、コミュニティによる開発プロジェクト、遊びや趣味と
して提供されるものなどを含む(が、これらだけに限定されるわけではない)、
多数の異なるタイプの製品が存在する。
この規格の目的にとって、ハードウェア製品とソフトウェア製品の区別はあま
り重要ではない。
販売モデル、配布モデル、サポートモデルによって、ベンダが正確なユーザ
リストを保持している場合もあれば、ない場合もある。これは、脆弱性の影響
を受けるユーザにどう通知するかを考えるうえで重要となる。
全ての製品利用者を把握している
場合の通知について記載
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
3.4 中間ベン
ダ
製品やサービスの開発者ではないが、より大規模なシステムの一部としてや、
再販業者として提供し、 ベンダ自身が開発したのではない製品やサービスの
保守を担う個人又は組織
-5.4.3 中間ベ
ンダ
中間ベンダは、ベンダからサブシステムを入手し、それを使ってシステム又は
サービス(又は両方の組み合わせ)をユーザ(又は他の中間ベンダ)に提供す
る。典型的な例では次のようなものがある:
1)システムハウス:例として、PCやOSと自社のヘルスケア管理ソフトウェアを
合わせ、統合したシステムを医師に販売する(保守契約も一緒に提供するこ
とも)
2)携帯電話本体とサービス契約を合わせて提供する通信事業者
3.5
オンラインサー
ビス
ハードウェア、ソフトウェア、又はその組み合わせによって実装され、通信回
線又はネットワーク経由で提供されるサービス
注記1 ホスティングされたコンテンツには財産的価値があることもある
例 検索エンジン、オンラインバックアップサービス、ウェブメール及びSaaSな
どがオンラインサービスと考えられる
注記2 オンラインサービスを提供するベンダは、サービスプロバイダと呼ばれること
もある。オンラインサービスと製品は、主に両者ともソフトウェアシステムだと
いう点で類似している。オンラインサービスと製品の2つの主な相違点は、
サービスはユーザにとって1つのソフトウェアのように見えるという点と、ユー
ザはソフトウェアのインストール、管理、又は展開を行わず、サービスを利用
するだけという点である。
Ⅱ.用語の定義と前提/7.ウェブアプリケーショ
ン
インターネットのウェブサイトなどで、公衆に向
けて提供するサービスを構成するシステムで、
そのソフトウエアがサイトごとに個別に設計・
構築され、一般には配布されていないものの
ことを指します。
5.3.2 オンライ
ンサービス
オンラインサービスとは、ネットワーク、一般的にはインターネットを通じて
サービスを提供するソフトウェアアプリケーションである。オンラインサービス
ベンダは、サービスプロバイダと呼ばれることもある。オンラインサービスは、
両者とも主にソフトウェアシステムであるという点で製品と似ている。オンライ
ンサービスと製品の2つの主な違いは、オンラインサービスはユーザにとって
しばしば1つのソフトウェアに見えるという点と、ユーザはソフトウェアのインス
トール、管理、又は展開を行わず、サービスを利用するのみという点である。
オンラインサービスの
定義
Pガイドラインでは
明確に規定していない
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
5.5.4 公開
フェーズ
ベンダは対策(remediation)を配布する。オンラインサービスであれば、ベン
ダは対策(remediation)を実施し、その旨を文章で記す。製品であれば、ベン
ダは通常脆弱性アドバイザやソフトウェアパッチ、ソフトウェアアップデートと
いった形で解決策(remediation)や軽減策情報をユーザに提供し、ユーザが
対策(remediation)を実施する。とりわけ当該脆弱性への攻撃が活発的に行
われていたり、既に一般に知られている場合、対策(remediation)が利用可能
になる前にベンダがアドバイザリを出すこともある。
できれば、ベンダは対策(remediation)が新しい脆弱性や、全体の品質に関
わる問題、他の製品及びサービスとの相互運用性に支障をきたさないことを
確実にするよう努めなければならない。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報
取扱/4.製品開発者の対応
7) 対策方法の周知
製品開発者は、対策方法を作成した場合、脆
弱性情報一般公表日以降、それを利用者に
周知してください。望ましい公表の手順を、付
録5に示します。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4. ウェブサイト運営者
5) 脆弱性関連情報の公表
ウェブサイト運営者は、ウェブアプリケーション
の脆弱性関連情報に関して、積極的に公表す
る必要はありません。
3.10 脆弱性 悪用される可能性のある、ソフトウェア、ハードウェア、又は、オンラインサー
ビスの弱点
Ⅱ.用語の定義と前提/1.脆弱性の定義
脆弱性とは、ソフトウエア製品やウェブアプリ
ケーション等において、コンピュータ不正アク
セスやコンピュータウイルス等の攻撃により、
その機能や性能を損なう原因となり得るセ
キュリティ上の問題箇所です。
5.3.3 脆弱性 脆弱性とは、一般的に、ユーザの明白な又は暗黙のセキュリティポリシーの
侵害を可能にする一連の状態をいう。ユーザのセキュリティポリシーの侵害
は、概してユーザにとって悪影響又は損失をもたらす。損失を分類する一般
的な方法の1つが、機密性・完全性・可用性への影響の考察である。例えば、
攻撃者によるユーザシステムへの悪意のあるソフトウェアのインストールを可
能にする脆弱性は、攻撃者が機密情報を閲覧したり変更するのにその悪意
のあるソフトウェアを使うことができるため、機密性や完全性に深刻な影響を
与え可能性がある。ネットワーク製品の脆弱性で製品をクラッシュされるよう
な脆弱性は、可用性に影響を及ぼす。脆弱性の実際の影響度は、どのように
その製品が使用されているか、及び他の主観的要因による。
オンラインサービスに
も対策を実施した旨の
公表を要請
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
6. 脆弱性公開
ポリシーにお
ける考慮事項
6.2 ポリシーに最低限含むべき内容
ベンダは脆弱性公開ポリシーを策定するべきだが、ポリシーが機微な情報を
含むこともあるため、公開するのはその一部だけとしてもよい。脆弱性公開ポ
リシーは、最低でも以下の情報を含むべきである。
a)どのようにベンダに連絡して欲しいか
b)セキュアな通信オプション
c)予想されるやり取りの説明
d)脆弱性と思われる届出を行う際に役立つ可能性がある情報
e)範囲外のサービス
多くの場合、脆弱性の届出に対処するチームは、セキュリティインシデント
や他のセキュリティに関する質問に対応していることができない。そうした種
類のリクエスト用の連絡先も明確にする。
ベンダは、脆弱性及び可能な対策(remedies)を理解する助けになるさらな
る詳細情報の提出を発見者に提案することを望むかもしれない。そうした目
的のフォームを提供することを検討してもよい。
f)届出をどう追跡するか
ベンダは、受領した、脆弱性と思われる届出の進展を追跡する方法を定義し、
その方法を発見者に伝えるべきである。
6.3 ポリシーにオプションとして含める内容
脆弱性公開ポリシーには、複数のオプション情報を含む可能性がある。
a)発見者の功績
b)一般公開の同期
c)配布
-Pガイドラインでは、ベンダが脆弱性
公開ポリシーを策定することやその
内容について言及していない
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
7. 脆弱性情
報の受領
7.2 潜在的な脆弱性の情報と安全な受領モデル
潜在的な脆弱性の情報は、脆弱性取扱プロセスの開始を促すために、発見
者からベンダ又は調整機関に届出が行われる。・・・脆弱性の届出は、実証
コードなど機微な情報を含む可能性があるため、ベンダは情報を安全に受
領する方法を提供するべきである。
7.3 受理の確認
ベンダは、脆弱性公開ポリシーに規定された時間軸以内に、脆弱性の届出
に対処するべきである。発見者への脆弱性を受理した旨の連絡は、暦で7日
以内に行うことが推奨される。
7.4 届出の追跡
ベンダは潜在的な脆弱性に関する全ての届出を記録し、追跡する仕組みを
保有するべきである。仕組みは、各届出を一義的に追跡できなければなら
ない。この課題は、ベンダ、中間ベンダ、発見者、調整機関、又は他の脆弱
性公開プロセスに関わる誰が行っても良い。
7.5 発見者との進行中のやり取り
ベンダは届出を受けた問題を評価し、脆弱性かそうでないかを判断しなけれ
ばならない。ベンダは、結果について発見者に(もし調整機関が関与してい
れば調整機関にも)知らせるべきである。
中間ベンダは、潜在的な脆弱性に関して自身で判断できるか、関連するサ
ブシステムを購入したベンダを巻き込む必要があるか、確認しなければなら
ない。他のベンダの関与を必要とし、そのために回答が遅れる場合、中間ベ
ンダは発見者及び/又は調整機関にその事実と今後の進め方について知
らせるべきである。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報
取扱/4.製品開発者の対応
2) 脆弱性検証の実施
製品開発者は、JPCERT/CC から脆弱性関
連情報を受け取ったら、ソフトウエア製品へ
の影響を調査し、脆弱性検証を行い、その結
果をJPCERT/CC に報告してください。
4) 発見者との直接の情報交換
製品開発者は、JPCERT/CC から脆弱性関
連情報を受け取った後、JPCERT/CC および
IPA を介し、発見者の了解を得て、発見者と
直接情報交換を行うことができます。
5) 問い合わせへの対応
製品開発者は、JPCERT/CC からの脆弱性
関連情報に係わる技術的事項および進捗状
況に関する問い合わせに的確に答えてくださ
い。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
1) 脆弱性関連情報への対処
ウェブサイト運営者は、通知を受けたら、脆弱
性の内容の検証および脆弱性の及ぼす影響
を正確に把握した後、影響の大きさを考慮し、
脆弱性を修正してください。また、当該脆弱性
関連情報に関して検証した結果、および修正
した場合その旨をIPA に連絡してください。こ
の連絡は、IPA から脆弱性関連情報の通知
を受けてから、3 ヶ月以内を目処としてくださ
7日以内の連絡を
推奨
中間ベンダについて
記載
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
7. 脆弱性情
報の受領
(続き)
7.6 詳細情報
調査中、ベンダが脆弱性の完全な評価を行うのに十分な情報を欠いている
場合もある。その場合、ベンダは事前に合意した通信チャネルを通じて、発見
者に追加情報の提供を依頼する。
7.7 調整機関からの支援
調製機関は、脆弱性公開プロセスの中で複数の役割を果たす可能性がある。
1)関係者間の信頼のおける仲介役を務める
2)アドバイザリの一般公開日を調整する
3)関係者(ベンダと発見者)の間のやり取りを可能にする
4)異なる組織の専門家たちが脆弱性への取組みを協働して行うことを可
能にする環境又はフォーラムを提供する
調製機関の選択は、地理的な近接性、言語、及運用モデルが合っているかな
どの要因によることがある。
脆弱性の影響を受けるベンダが複数ある場合、ベンダはアドバイザリを公開
するタイミングを、直接もしくは調整機関の支援により調整するべきである。ベ
ンダは調整機関に対してCVE-IDの提供又は取得を依頼することもある。場合
によっては、1つ以上の調整機関が関与することもある。ベンダは、複雑さや
混乱を低減するため、1つの調整機関がリーダー役を行うよう提案するのがよ
い。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
1) 窓口の設置
製品開発者は、JPCERT/CC との間で脆弱性
関連情報に関する情報交換を行うための窓口
を設置し、あらかじめJPCERT/CC に連絡して
ください。この窓口が、JPCERT/CC の製品開
発者リストに登録されることになります。
2) 脆弱性検証の実施
製品開発者は、JPCERT/CC から脆弱性関連
情報を受け取ったら、ソフトウエア製品への影
響を調査し、脆弱性検証を行い、その結果を
JPCERT/CC に報告してください。
/5.その他
2) IPA およびJPCERT/CC による普及支援
IPA およびJPCERT/CC は、上記1)の連絡を
受け取った、当該脆弱性関連情報及び対策
方法をJVN で公表します。公表する時期につ
いては、製品開発者と事前に調整を図ります。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
1) 脆弱性関連情報への対処
ウェブサイト運営者は、通知を受けたら、脆弱
性の内容の検証および脆弱性の及ぼす影響
を正確に把握した後、影響の大きさを考慮し、
脆弱性を修正してください。また、当該脆弱性
関連情報に関して検証した結果、および修正
した場合その旨をIPA に連絡してください。こ
の連絡は、IPA から脆弱性関連情報の通知を
受けてから、3 ヶ月以内を目処としてください。
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
8. ベンダ間に
おける脆弱性
の報告
8.1 全般
届出を受けた脆弱性の詳細調査の結果、ベンダはその脆弱性が他のベンダ
が供給しているコンポーネント、又は基盤となるプラットフォームに起因するも
ので、自分たちでは解決できないものと気づくかもしれない。このような場合を
含め、ベンダは時に脆弱性について他のベンダに報告することが望ましい状
況に遭遇することがある。この節では、ベンダ間におけるそうした脆弱性の報
告がどのように行われるべきかについて述べる。
-9. アドバイザ
リの配布
9.5.1 全般
以下では、アドバイザリに含むべき項目の一覧について詳細を記す。一覧は
網羅的なものではなく、ベンダは状況に応じて他の情報を含めて構わない。
9.5.2 ID
9.5.3 タイトル
9.5.4 概要
9.5.5 影響を受ける製品
9.5.6 対象とする読者
9.5.7 説明
9.5.8 影響
9.5.9 対策(Remediation)
9.5.10 参考情報
9.5.11 功績者
9.5.12 更新履歴
9.5.13 連絡先
9.5.14 利用規約
付録5 ソフトウエア製品開発者による脆弱性
対策情報の公表マニュアル
3.1.脆弱性対策情報の公表項目
3.1.1. タイトル
3.1.2. 概要
3.1.3. 該当製品の確認方法
3.1.4. 脆弱性の説明
3.1.5. 脆弱性がもたらす脅威
3.1.6. 対策方法
3.1.7. 回避策
3.1.8. 関連情報
3.1.9. 謝辞
3.1.10. 更新履歴
3.1.11. 連絡先
国内ではJPCERT/CCを
介した形で情報を共有
(Pガイドラインの記載はなし)
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
9. アドバイザ
リの配布
9.4 アドバイザリ公開のタイミング
ベンダは、アドバイザリの公開タイミングを計る際に、リスクを天秤に掛けて考
えなければならない。脆弱性の解決策(remediation)は存在しないが、攻撃が
行われているのであれば、ベンダはユーザにリスクとリスクを軽減又は取り除
くためにできることを知らせるため、アドバイザリを公開する必要があるかもし
れない。そうでなければ、ベンダは対策(remediation)が準備ができたと同時
にアドバイザリを公開するべきである。
脆弱性が攻撃者によって盛んには悪用されていない場合、対策(resolution)
の準備ができ次第、アドバイザリと対策(resolution)を発行することが望まし
い。しかし、同じ製品やオンラインサービスの複数のアドバイザリが関わって
いる場合は、対策(resolutions)が引き起こす運用中断回数を全体として減少
させるためにも、それらのアドバイザリを同時に出した方がよい。
脆弱性が攻撃者によって盛んに悪用されている、又は脆弱性が故意に、又は
意図せず一般に公開されている場合、その脆弱性に責任を負うベンダは、回
避策又は暫定的対策を添えて迅速にアドバイザリを出すことを検討するべき
である。それが、パッチや修正(fix)が提供されるまでの短期的な解決策
(solution)になるかもしれない。その場合、最新の詳細がわかったら、アドバ
イザリもアップデートされるべきである。
-解決策がない場合の
アドバイザリ公開を言及
2.3.ISO/IEC 29147 “Vulnerability Disclosure” 脆弱性の公開
③Pガイドラインの整合性
ISO/IEC 29147
Pガイドライン
9. アドバイザ
リの配布
9.6 アドバイザリの提供手段
ベンダは、ユーザにアドバイザリを提供するのに適切な方法を確立し、維持
するべきである。一般的な方法には、ウェブサイト、メーリングリスト、フィード、
自動アップデートメカニズムなどがある。各ベンダで、自社のユーザコミュニ
ティにとって最適の方法を決めるとよい。ベンダはより幅広い読者と情報を共
有するために、アドバイザリを公共の脆弱性ディスカッション・フォーラムに投
稿することを選ぶこともできる。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報
取扱/4. 製品開発者の対応
7) 対策方法の周知
製品開発者は、対策方法を作成した場合、脆
弱性情報一般公表日以降、それを
利用者に周知してください。望ましい公表の手
順を、付録5に示します。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4. ウェブサイト運営者
5) 脆弱性関連情報の公表
ウェブサイト運営者は、ウェブアプリケーション
の脆弱性関連情報に関して、積極的に公表す
る必要はありません。
ただし、この脆弱性が原因で、個人情報が漏
洩したなどの事案が起こったまたは起こった
可能性がある場合、二次被害の防止および関
連事案の予防のために、以下の項目を含むよ
うに公表してください。また、当該個人からの
問い合わせに的確に回答するようにしてくださ
い。
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
3. 用語及び定
義
3.1 調整者
オプションの参加者で、脆弱性情報の取扱いや開示をする際に、ベンダや発
見者を補助できる。
[Pガイドラインは定義無・告示の記載は以下]
Ⅲ.本基準における関係者の定義/3.調整機関
脆弱性関連情報に関して、製品開発者への
連絡及び公表等に係る調整を行う機関
3.6 製品 販売又は無償提供のため、導入された又は改良された、システム又はサービ
ス。
注記:情報技術においては、ハードウェアとソフトウェア製品をしばしば区別す
る。とは言っても、その境界は常に明確ではないが。
例: ルータは、例え重要な部品がソフトウェア及び/又はファームウェアで
あっても、ハードウェア製品としてみることができる。
Ⅱ.用語の定義と前提/5.ソフトウエア製品
ソフトウエア自体又はソフトウエアを組み込ん
だハードウエア等の汎用性を有する製品のこ
とです。ただし、オープンソースソフトウエアの
ように技術情報を統括する企業が一社に定ま
らないもの、複数の者又は団体によりその改
善が行われるものも含みます。具体例は、付
録4に示します。
3.5 オンライン
サービス
ハードウェア、ソフトウェア、又はそれらの組合せにより実施されるサービスで、
通信線又は通信網上に提供される。
例: サーチエンジン、オンラインバックアップサービス、インタネットホステッ
ドメール、及びオンラインサービスと考えられるソフトウェア
Ⅱ.用語の定義と前提/7.ウェブアプリケーショ
ン
インターネットのウェブサイトなどで、公衆に向
けて提供するサービスを構成するシステムで、
そのソフトウエアがサイトごとに個別に設計・
構築され、一般には配布されていないものの
ことを指します。
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
3.7 ベンダ
個人または組織。当該製品やサービスを開発した、又はその維持管理に対し
て責任がある。
Ⅱ.用語の定義と前提
9.製品開発者
製品開発者とは、ソフトウエアを開発した企業
または個人です。企業の場合それが外国の
会社である場合には、そのソフトウエア製品の
国内での主たる販売権を有する会社(外国企
業の日本法人や総代理店など)を指します。
11.ウェブサイト運営者
ウェブサイト運営者とは、脆弱性関連情報が
発見されたウェブアプリケーションを運営する
主体です。当該ウェブアプリケーションが企業
や組織によって運営されているのであれば、
その企業や組織が該当します。個人によって
運営されているのであれば、その個人が該当
します。ウェブサイト運営者の例は、付録4に
示します。
3.8 脆弱性 攻撃される可能性のある、ソフトウェア、ハードウェア、又はオンラインサービ
スの弱点。
Ⅱ.用語の定義と前提/1.脆弱性の定義
脆弱性とは、ソフトウエア製品やウェブアプリ
ケーション等において、コンピュータ不正アク
セスやコンピュータウイルス等の攻撃により、
その機能や性能を損なう原因となり得るセ
キュリティ上の問題箇所です。
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
6.2 脆弱性取
扱いポリシー
策定
ベンダは、脆弱性取扱いプロセス策定のため脆弱性を調査、修正する際に、
ベンダの意図を定義し明確化するために、脆弱性取扱いポリシーを策定し維
持管理することが望ましい。ポリシーは、二つの部分(内部限定の部分と公開
する部分)から構成することが望ましい。
-6.3 脆弱性取
扱いプロセス
を支援するた
めの組織上の
フレームワー
クの策定
脆弱性取扱いは、単に工学や技術以外に、幾つかの付加的な側面を持って
いる(例:顧客支援及び広報)。組織的なフレームワークは、各エリアについて
責任を持つベンダの関係部門によって、設計、認識、及び支援されることが
望ましい。
組織は、脆弱性取扱いについて責任を持ち決定する権限を持つような、役割
や能力を、できれば経営レベルで、有することが望ましい。この役割や能力は、
ベンダのユーザに対する責任、内部プロセス、及び脆弱性取扱いに関する組
織上のフレームワークを理解しておかなければならない。
組織は、潜在的脆弱性を取扱う窓口になる、役割や能力を有することが望ま
しい。この窓口は、製品やオンラインサービスを顧客に提供するベンダ内の
部門や部署ごとに、特定されることが望ましい。
組織は、外部の団体が脆弱性に関して連絡をして情報交換をするための窓
口を確立することが望ましい。
窓口は、ベンダコンピュータセキュリティインシデントレスポンスチーム(ベンダ
CSIRT)又は、製品セキュリティインシデントレスポンスチーム(PSIRT)の一部
になるかも知れない。
顧客やメディアは脆弱性の開示後に質問や付加情報要請をベンダに連絡す
るかもしれないため、顧客や広報に対する責任部門は対応できるように準備
しておくことが望ましい。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
1) 窓口の設置
製品開発者は、JPCERT/CC との間で脆弱性
関連情報に関する情報交換を行うための窓口
を設置し、あらかじめJPCERT/CC に連絡して
ください。この窓口が、JPCERT/CC の製品開
発者リストに登録されることになります。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
1) 脆弱性関連情報への対処
ウェブサイト運営者は、通知を受けたら、脆弱
性の内容の検証および脆弱性の及ぼす影響
を正確に把握した後、影響の大きさを考慮し、
脆弱性を修正してください。また、当該脆弱性
関連情報に関して検証した結果、および修正
した場合その旨をIPA に連絡してください。こ
の連絡は、IPA から脆弱性関連情報の通知を
受けてから、3 ヶ月以内を目処としてください。
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
6.4 ベンダ
CSIRT 又は
PSIRT
ベンダ CSIRT 又はPSIRTは、脆弱性の外部発見者からの脆弱性報告を調整
することに対して責任がある。
幾つかのケースでは、ベンダPSIRTは、ベンダ内の内部チームによって報告
された脆弱性についても、調整する。次の節では、ベンダCSIRT やPSIRTに
ついて、組織上の役割や責任について記述する。理解を明確にするために言
うと、PSIRTは、文書の残り全般にわたって、この役割の参照をするために使
われている。
6.4.2 脆弱性レスポンスチームの使命
ベンダの脆弱性取扱いプロセスにおいて、ベンダPSIRTは中心的な役割を果
たしている。
脆弱性取扱いを内部的に調整することに加えて、それは脆弱性発見者や調
整者のような外部の関係者に対して、唯一の窓口として活動する。
6.4.3 脆弱性レスポンスチームの責任
この節は、脆弱性レスポンスチームの責任について記述している。
・潜在的な脆弱性の外部発見者とのコミュニケーション
・製品担当部門とのコミュニケーション
・調整者や他のベンダとのコミュニケーション
・脆弱性開示のタイミング
・公開された脆弱性の監視
6.4.4 スタッフの能力
ベンダPSIRTのスタッフは以下を実施することが望ましい。
a)報告された潜在脆弱性の性質を理解し、それらを適切な団体に配布できる
こと。
b)脆弱性関連情報の機密性を理解し、解決策策定前に脆弱性詳細を漏洩し
ないようにそのような情報の扱いに精通していること。
c)適宜、脆弱性取扱いに必要なアクションをとるために、適切な製品担当部
門へ知らせること。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
3) 脆弱性情報の一般への公表日の調整
製品開発者は、自社製品に新たな脆弱性の
存在がある場合、脆弱性情報の一般への公
表日についてJPCERT/CC と相談してください。
なお、一般への公表日は、IPA および
JPCERT/CC が脆弱性関連情報の取扱いを
開始した日時((1) 2)参照)から起算して、45
日を目安とします。公表に更なる時間を要す
る場合は、JPCERT/CC と相談してください。
4) 発見者との直接の情報交換
5) 問い合わせへの対応
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
1) 脆弱性関連情報への対処
また、当該脆弱性関連情報に関して検証した
結果、および修正した場合その旨をIPA に連
絡してください。この連絡は、IPA から脆弱性
関連情報の通知を受けてから、3 ヶ月以内を
目処としてください。
2) 問い合わせへの対応
3) 発見者との直接の情報交換
脆弱性レスポンス
チームの使命や責
任、スタッフの能力
に言及
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
6.5 製品担当
部門の責任
製品担当部門は、そのベンダにて開発、又は実施された製品やオンライン
サービス、及び又は他のベンダの製品やオンラインサービスと共に商品化さ
れた製品やオンラインサービス、を顧客に提供する。彼らは、彼らの製品やオ
ンラインサービスに影響する脆弱性取扱いプロセスの中核的な部分に責任を
持つエンティティである。
潜在的な脆弱性がベンダPSIRTにより製品担当部門に報告された時、その製
品担当部門は修正案策定のためPSIRTと共に活動しなければならない。製品
担当部門は、もし案件が脆弱性でありバグの一種ではないと判断された場合
に、案件をPSIRTにエスカレートする手段を有することが望ましい。
担当部門内の製品セキュリティ連絡先は、製品やオンラインサービス内にあ
る潜在的なセキュリティ脆弱性の通知を受けた時点で、脆弱性取扱いプロセ
スを主導することが望ましい。このプロセスは、いかなる必要なレスポンス行
動でも、ベンダの脆弱性レスポンスポリシーに基づいて実施されるように、
PSIRTの通知を含むことが望ましい。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
2) 脆弱性検証の実施
製品開発者は、JPCERT/CC から脆弱性関連
情報を受け取ったら、ソフトウエア製品への影
響を調査し、脆弱性検証を行い、その結果を
JPCERT/CC に報告してください。また、他社
のソフトウエア製品に類似の脆弱性があると
推定される場合、JPCERT/CC に連絡してくだ
さい。
また、何らかの理由でJPCERT/CC からの連
絡を受け取れなかった場合も、JPCERT/CC
から連絡不能開発者として示された場合には、
すみやかにJPCERT/CCに連絡してください。
6) 対応状況の連絡と対策方法の作成
製品開発者は、脆弱性情報の一般の公表日
までに、脆弱性関連情報に係わる対応状況を
JPCERT/CC に連絡するとともに、脆弱性関
連情報に係わる対策方法を作成するよう努め
てください。JPCERT/CC に対する対応状況
の報告をもって、IPAにも報告したこととみなさ
れます。また、対応状況が変わった場合、そ
の都度、JPCERT/CC に最新の情報を連絡し
てください。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
1) 脆弱性関連情報への対処
ウェブサイト運営者は、通知を受けたら、脆弱
性の内容の検証および脆弱性の及ぼす影響
を正確に把握した後、影響の大きさを考慮し、
脆弱性を修正してください。
製品担当部門の
責任に言及
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
6.6 顧客支援
部門と広報部
門の役割
脆弱性取扱いの最終段階で、勧告はしばしば修正策と共にリリースされる。
勧告がメーリングリストや直接のコミュニケーションにて顧客に送付される際
は、その普及連絡はしばしば顧客支援部門により実施される。顧客支援部門
は、必要な顧客全てに通知するのに適切な手段を選択し、調整された開示日
までに内密に維持することが望ましい。
勧告を読んだ後に、ユーザの中には、質問やベンダ支援の要請をするかもし
れない。顧客支援部門は、勧告についての質問や要請への対応や展開する
準備しておくことが望ましい。
ISO/IEC29147-脆弱性開示にて詳細化されているように、ベンダの公開ウェ
ブサイト上に発行されている勧告は容易にアクセスできることが望ましい。顧
客支援や広報の部門は、ベンダのウェブサイトの維持管理に関係しているか
もしれないが、29147内のガイドラインを遵守するよう試みることが望ましい。
もし、公開された脆弱性が深刻で広く知っている案件の場合、広報部門は、マ
スニュースメディアからの連絡先を準備しておくことが望ましい。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
7) 対策方法の周知
製品開発者は、対策方法を作成した場合、脆
弱性情報一般公表日以降、それを利用者に
周知してください。望ましい公表の手順を、付
録5に示します。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
5) 脆弱性関連情報の公表
ウェブサイト運営者は、ウェブアプリケーション
の脆弱性関連情報に関して、積極的に公表す
る必要はありません。ただし、この脆弱性が原
因で、個人情報が漏洩したなどの事案が起
こったまたは起こった可能性がある場合、二
次被害の防止および関連事案の予防のため
に、以下の項目を含むように公表してください。
また、当該個人からの問い合わせに的確に回
答するようにしてください。
・ 個人情報漏洩の概要
・ 漏洩したと推察される期間
・ 漏洩したと推察される件数
・ 漏洩したと推察される個人情報の種類(属
性など)
・ 漏洩の原因
・ 問合せ先
顧客支援部門、
広報部門の役割
に言及
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
6.7 法的な相
談
ベンダは、ベンダが内部ポリシー、法律、及び現存する契約に合致することを
確実にするために、提案された修正内容やコミュニケーションについて法的な
見直しが必要かもしれない。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
製品開発者に係わる法的な論点は、付録2に
示します。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
ウェブサイト運営者における法的な論点は、
付録3に示します。
7.1 脆弱性取
扱いプロセス
の紹介
図2は、一般的な脆弱性取扱いプロセスについて概説している。そのようなプ
ロセスは一般的には、ベンダにより実施される。
-2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
7.2 脆弱性取
扱いフェーズ
脆弱性報告を処理する際に生じる典型的なフェーズについて、記述する。そ
れは、ベンダに、関連するプロセスを理解し、発生した各状況に対処するため
に、内部プロセスの生成や変更を許可するための最初のポイントを提供する
ものである。
7.2.2 脆弱性報告の受領
ベンダは内部又は外部のソースから脆弱性報告を受領する。
7.2.3 検証
検証中は、次の活動が発生する。
a) 初期調査
b) 起こり得るプロセスの終了
c) 根本原因分析
d) 更なる調査
e) 優先付け
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
2) 脆弱性検証の実施
製品開発者は、JPCERT/CC から脆弱性関連
情報を受け取ったら、ソフトウエア製品への影
響を調査し、脆弱性検証を行い、その結果を
JPCERT/CC に報告してください。また、他社
のソフトウエア製品に類似の脆弱性があると
推定される場合、JPCERT/CC に連絡してくだ
さい。また、何らかの理由でJPCERT/CC から
の連絡を受け取れなかった場合も、
JPCERT/CC から連絡不能開発者として示さ
れた場合には、すみやかにJPCERT/CCに連
絡してください。
4) 発見者との直接の情報交換
製品開発者は、JPCERT/CC から脆弱性関連
情報を受け取った後、JPCERT/CC およびIPA
を介し、発見者の了解を得て、発見者と直接
情報交換を行うことができます。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
1) 脆弱性関連情報への対処
ウェブサイト運営者は、通知を受けたら、脆弱
性の内容の検証および脆弱性の及ぼす影響
を正確に把握した後、影響の大きさを考慮し、
脆弱性を修正してください。
3) 発見者との直接の情報交換
ウェブサイト運営者は、脆弱性を修正するた
めに、IPA と協議の上、発見者の了解のある
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
7.2 脆弱性取
扱いフェーズ
(続き)
7.2.4 解決策の策定
脆弱性の解決策策定では、次ステップが順番に実施されることが望ましい。
a) 解決策の決定
b) 修正の実施
c) 修正内容の試験
7.2.5 プロセス内の次ステージへ脆弱性解決策のリリース
脆弱性に対する解決策のリリースについて、脆弱性を解決するのにベンダが
取れる二つの可能な経路を示す。
a)オンラインサービス
b) 製品
7.2.6 解決策リリース後の活動
脆弱性解決策をリリース後のベンダ活動は以下の通り。
a) ケースの維持管理
b) セキュリティ開発ライフサイクルフィードバック
c) 監視
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
3) 脆弱性情報の一般への公表日の調整
製品開発者は、自社製品に新たな脆弱性の
存在がある場合、脆弱性情報の一般への公
表日についてJPCERT/CC と相談してください。
なお、一般への公表日は、IPA および
JPCERT/CC が脆弱性関連情報の取扱いを
開始した日時((1) 2)参照)から起算して、45
日を目安とします。公表に更なる時間を要す
る場合は、JPCERT/CC と相談してください。
6) 対応状況の連絡と対策方法の作成
製品開発者は、脆弱性情報の一般の公表日
までに、脆弱性関連情報に係わる対応状況を
JPCERT/CC に連絡するとともに、脆弱性関
連情報に係わる対策方法を作成するよう努め
てください。JPCERT/CC に対する対応状況
の報告をもって、IPAにも報告したこととみなさ
れます。また、対応状況が変わった場合、そ
の都度、JPCERT/CC に最新の情報を連絡し
てください。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
5) 脆弱性関連情報の公表
ウェブサイト運営者は、ウェブアプリケーション
の脆弱性関連情報に関して、積極的に公表す
る必要はありません。ただし、この脆弱性が原
因で、個人情報が漏洩したなどの事案が起
こったまたは起こった可能性がある場合、二
次被害の防止及び関連事案の予防のために、
以下の項目を含むように公表してください。
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
7.3 脆弱性取
扱い段階の監
視
ベンダは、脆弱性取扱いプロセスの有効性を監視することが望ましい。
a) スピード:ベンダは、本プロセスを通して脆弱性を対処するのに要する時間
を監視し、脆弱性解決のスピード改善に向けて努力することが望ましい。
b) 完全性:ベンダは、脆弱性の根本原因に対処することを確実にするために、
修正策の完全性を監視することが望ましい。
c) 持続性:ベンダは、影響のあったユーザへリリースした後、修正策の有効
性を監視することが望ましい。
-7.4 脆弱性情
報の機密性
ベンダは、機密にかかわる脆弱性情報の機密性維持のために、注意すること
が望ましい。保護すべき情報には、二つの重要なクラスがある。一つ目は、個
人的な、又は組織上のアイデンティティに関する情報(匿名希望の発見者の
氏名、脆弱性の攻撃にさらされてしまった顧客のIPアドレス)である。二つ目は、
まだ公表されていない又は広く知られていない脆弱性情報(まだ調査中の脆
弱性、過度に攻撃者に利するような技術詳細)である。
Ⅳ.ソフトウエア製品に係る脆弱性関連情報取
扱/4.製品開発者の対応
8) 製品開発者内の情報の管理
製品開発者は、上記3)で作成した脆弱性情報
の一般公表スケジュールおよび脆弱性関連
情報を、脆弱性情報を一般に公表する日まで
第三者に漏洩しないように管理してください。
Ⅴ.ウェブアプリケーションに係る脆弱性関連
情報取扱/4.ウェブサイト運営者
4) ウェブサイト運営者内での情報の管理
ウェブサイト運営者は、脆弱性が修正されるま
での間は、脆弱性関連情報を第三者に漏洩し
ないように管理してください。ただし、ウェブサ
イト運営者が脆弱性修正を依頼した外部機関、
およびウェブサイトの管理を委託している外部
機関には、秘密保持契約を締結した上で脆弱
性関連情報を連絡することを推奨します。
なお、ウェブサイト運営者は、脆弱性の修正の
過程でソフトウエア製品の脆弱性であることを
認識した場合、情報を適切に管理してください
2.4.ISO/IEC 30111 “Vulnerability handling processes”
脆弱性取扱いプロセス
③Pガイドラインの整合性
ISO/IEC 30111
Pガイドライン
8.サプライ
チェーン脆弱
性取扱いプロ
セス
複数のベンダからのコンポーネントを含むような案件を解決するために、複数
のベンダが脆弱性情報を共有するような例としては、次を含む。
a) ある任意の脆弱性。特定部分のソフトウェアに影響を及ぼすと報告された
が、特定の根本となるOS又はCPU内の案件により引き起こされている。
b) 多様な製品に組み込まれた、欠陥のある標準機能仕様内にある、又は公
開されたアルゴリズム内にある、複数の脆弱性
c) 従来まで広く受け入れられた開発方法により自然に導入された、脆弱性
d) 共用ライブラリ内の脆弱性
e) 現存の維持管理者に不足しているソフトウェアコンポーネント内の脆弱性
-国内ではJPCERT/CCを
介した形で情報を共有
(Pガイドラインの記載はなし)
