令和7年9月9日、経済産業省、独立行政法人情報処理推進機構(以下「IPA」)、一般社団法人JPCERTコーディネーションセンター(以下「JPCERT/CC」)及び国家サイバー統括室は、いわゆる脆弱性関連情報の取扱いについて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応を求める声明を公表しました。
経済産業省:国内における脆弱性関連情報を取り扱う全ての皆様へ – 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い –
この声明は、先日の「FeliCa」の事例に関する報道を背景として公表されたものと考えられます。「FeliCa」の事例では、IPAやソニーが脆弱性に関する情報を公開していなかったにもかかわらず、報道機関が脆弱性の発見者に取材し、スクープ的に報道した点が問題となりました。
近年、デジタル化の進展に伴い、ソフトウェアやシステムの脆弱性を巡る問題は、企業にとって避けて通れないリスク・課題となっています。
本コラムでは、経産省の上記声明を踏まえ、企業や脆弱性の発見者、さらには報道機関等が知っておくべき「責任ある情報開示(Responsible Disclosure)」の考え方について、概要を簡単に解説いたします。
脆弱性関連情報の適切な取り扱いとは?
我が国では、平成29年に、ソフトウェア等の脆弱性を悪用した不正アクセス行為やコンピュータウイルスによる企業活動の停止や情報資産の滅失、個人情報の漏えい等の被害発生を抑制するため、脆弱性関連情報が発見された場合にそれらをどのように取り扱うべきかを示した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号)が制定されています。
上記告示を受け、IPA等において、脆弱性関連情報を適切に取り扱うための指針「情報セキュリティ早期警戒パートナーシップガイドライン」が策定されています。
ガイドラインでは、IPAを受付機関、JPCERT/CCを調整機関と位置付けたうえで、脆弱性関連情報の発見者、ソフトウエアの製品開発者、ウェブサイト運営者と協力をしながら、発見された脆弱性関連情報が無関係な第三者に漏れないよう、関係者の間で適切に管理し、製品開発者やウェブサイト運営者による検証・対策実施が済んだうえで公表することで、不特定多数の人々に被害を及ぼす脆弱性が悪用される可能性を低減できるよう、関係者に推奨する行為がとりまとめられています。
ガイドラインは、脆弱性により不特定または多数の人々に影響を及ぼすものを適用範囲としており、具体的には、国内で利用されているソフトウエア製品や、主に日本国内からのアクセスがあるサイトで稼動するウェブアプリケーション(例えば、主に日本語で記述されたウェブサイトや、URLが「jp」ドメインのウェブサイト等)が対象とされています。
(1)ソフトウェア製品の脆弱性情報の取扱い
まず、ソフトウェア製品の脆弱性情報の取扱いについては、以下のプロセスが示されています。
①届出:発見者はIPAに脆弱性関連情報を届け出る。
②受付・通知: IPAは届出を受理し、原則としてJPCERT/CCに通知する。
③連絡・調整:JPCERT/CCは製品開発者を特定し、脆弱性情報を通知。公表日(最初の連絡から45日後を目安)の調整を開始する。
④検証・対策:製品開発者は脆弱性を検証し、公表日までに対策方法(パッチ等)の作成に努める。
⑤公表:IPAとJPCERT/CCは、脆弱性対策情報ポータルサイトを通じて、脆弱性情報、検証結果、対策方法などを公表する。
⑥統計情報:IPAは、届出状況を四半期ごとに統計情報として公表する。
そのうえで、各関係者の責務として、以下のとおり規定しています。
| • 発見者 | ・ 関連法令(不正アクセス禁止法等)を遵守し、脆弱性情報を発見・取得する。 ・IPAへの届出時には、連絡先、脆弱性の内容、再現手順などを明記する。 ・公表まで、脆弱性情報を正当な理由なく第三者に開示しない(情報非開示依頼)。 |
| • IPA(受付機関) | ・届出内容の妥当性を判断し、受理・不受理を決定する。 ・JPCERT/CCと連携し、脆弱性が他のシステムに与える影響を分析する。 ・重要インフラ等に特に影響が大きい場合、対策方法の公表前に政府機関等へ優先的に情報提供することができる。 |
| • JPCERT/CC(調整機関) | ・ 製品開発者の連絡先リストを整備し、迅速な連絡に努める。 ・対策作成期間や海外機関との調整を考慮し、製品開発者と公表日を決定する。 ・OSSの場合、開発コミュニティに加え、OSSを導入した製品の開発者等にも通知を行う。 |
| • 製品開発者 | ・ JPCERT/CCとの連絡窓口を設置する。 ・通知された情報の脆弱性検証を行い、結果をJPCERT/CCに報告する。 ・公表日までに修正パッチや回避策等の「対策方法」を作成するよう努める。 ・公表後は、製品利用者に対策方法を周知する。 |
(2)ウェブアプリケーションの脆弱性情報の取扱い
次に、ウェブアプリケーションの脆弱性情報の取扱いについては、以下のプロセスが示されています。
①届出:発見者はIPAに脆弱性関連情報を届け出る。
②受付・通知:IPAは届出を受理し、ウェブサイト運営者に直接脆弱性情報を通知する。
③検証・修正:ウェブサイト運営者は内容を検証し、脆弱性が存在する場合、修正を行う。修正完了後、IPAに報告する(通知から3ヶ月以内が目安)。
④完了連絡: IPAは、修正完了の旨を発見者に通知する。
⑤公表:原則として脆弱性自体の公表は行われない。ただし、個人情報漏えい等の事案が発生した場合は、二次被害防止のため、ウェブサイト運営者は事実関係を公表する。
⑥統計情報:IPAは、サイト名などが特定できない形で、届出状況を四半期ごとに統計情報として公表する。
そのうえで、各関係者の責務として、以下のとおり、規定しています。
| ・発見者 | ・関連法令を遵守し、脆弱性情報を発見・取得する。 ・脆弱性が修正されるまで、情報を第三者に開示しない。 |
| ・IPA(受付機関) | ・届出内容を精査し、ウェブサイト運営者に通知する。 ・運営者から一定期間応答がない場合や、影響が小さいと判断した場合は、取扱いを終了することがある。 ・脆弱性の原因がソフトウェア製品にあると判明した場合は、JPCERT/CCを介して製品開発者に連絡する。 |
| ・ウェブサイト運営者 | ・通知された情報を検証し、脆弱性の修正を行う。 ・進捗状況や修正結果をIPAに報告する。 ・脆弱性情報を、修正を依頼する外部機関などを除き、正当な理由なく第三者に開示しない。 |
ガイドラインの仕組みは、脆弱性情報が悪意ある第三者に悪用され、サイバー攻撃や情報漏えいといった被害が拡大するのを防ぐことを目的としています。
今回の経産省の声明も、報道機関がIPA等による公表前に独自に報道した点を踏まえ、関係者全体にガイドラインに則した対応を求めたものと解されます。
なお、ガイドラインでは、届け出られた脆弱性を効率的かつ効果的に処理するため、影響度に基づいた優先順位付けの考え方が導入されています。
企業等に求められる対応
自社のソフトウエア製品やウェブサイトに脆弱性が発見された場合、企業は、上記ガイドラインを踏まえた対応を取る必要があります。
このため、平時から上記ガイドラインの内容を把握しておくとともに、有事に備え、脆弱性対応ポリシーを策定し、発見者からの報告を適切に受け付ける窓口を設けるとともに、社内対応フローを明確化しておくことが大切です。
また、十分な検証・対策実施が行われていない状態で脆弱性を第三者に開示・公表することは、脆弱性が悪用され、不特定多数の人々へ被害を拡大させるなどの可能性があることから、脆弱性の発見者や報道機関においても、ガイドラインに則した対応が望まれます。
