重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開
2017年4月10日
省庁・団体名
独立行政法人情報処理推進機構
概要
IPAは、「情報システム等の脆弱性情報の取扱いに関する研究会」における2016年度の活動成果としてとりまとめた報告書や、情報セキュリティ早期警戒パートナーシップ(*1)ガイドラインの改訂案などを公開しました。
内容
「情報システム等の脆弱性情報の取扱いに関する研究会」2016年度報告書
IPAでは、「情報システム等の脆弱性情報の取扱いに関する研究会(以降、研究会)」(座長:土居 範久慶應義塾大学名誉教授)においてとりまとめ公開した「新たな情報セキュリティ早期警戒パートナーシップの基本構想」にあるパートナーシップ将来像の実現に向けたロードマップに則り、今年度は「重要インフラ事業者への優先情報提供の実現に向けた検討」「脆弱性情報の取扱い判断基準と取扱ルールの策定に関する検討」「ソフトウェア開発者やウェブサイト運営者による脆弱性対処」「調整不能案件公表」「EoL製品の脆弱性」「IoTの脆弱性」について検討しました。また新たな課題である「フルディスクロージャ型の脆弱性公表サイト」や「現行パートナーシップ改善」についても検討し、これらを踏まえた情報セキュリティ早期警戒パートナーシップガイドラインの改訂などに取り組み、2016年度の研究会の活動として報告書をまとめ公開しました。
報告書の構成(目次)
1. 情報セキュリティ早期警戒パートナーシップの現状と課題
1.1. 背景
1.2. 運用の状況
1.3. 本年度研究会における検討
2. 重要インフラ事業者への優先情報提供の実現に向けた調査
2.1. 調査の概要
2.2. ワーキンググループでの検討
2.3. 検討結果
2.4. 次年度以降の検討課題
3. 脆弱性情報の取扱い判断基準と取扱ルールの策定に関する調査
3.1. 調査の概要
3.2. ワーキンググループでの検討
3.3. 調査結果
4. 製品開発者やウェブサイト運営者が自社製品・サービスの脆弱性対処を行う意義、考え方等に関する調査
4.1. 調査の概要
4.2. ヒアリング調査
4.3. 調査結果
5. 調整不能案件の公表に関する調査
5.1. 調査の概要
5.2. 調査結果
6. EoL製品の脆弱性を巡るパートナーシップの対応のあり方に関する調査
6.1. 調査の概要
6.2. ヒアリング調査
6.3. 調査結果
7. IoTの脆弱性を巡る法制度の整理に関する調査
7.1. 調査の概要
7.2. 調査結果
8. フルディスクロージャ型の脆弱性公表サイトの考え方に関する調査
8.1. 調査の概要
8.2. ヒアリング調査
8.3. 調査結果
9. 現行のパートナーシップの改善に関する調査
9.1. 調査の概要
9.2. 調査結果
10. 情報セキュリティ早期警戒パートナーシップガイドラインの改訂等に関する調査
10.1. 重要インフラ事業者への優先情報提供の実現に向けた調査結果の反映
10.2. 脆弱性情報の取扱い判断基準と取扱ルールに関する調査結果の反映
10.3. 省令制定・告示改正の反映
参考1 2016年度情報システム等の脆弱性情報の取扱いに関する研究会名簿
参考2 脆弱性研究会の検討経緯
別紙1 電力事業者への優先情報提供の実現に向けた調査報告書
別紙2 脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書
別紙3 情報セキュリティ早期警戒パートナーシップガイドライン改訂案
IPAとしてはこれら調査報告書が有効利用され、ソフトウェアの脆弱性対策の普及が進むことを期待しています。
「電力事業者への優先情報提供の実現に向けた調査報告書」公開
情報セキュリティ早期警戒パートナーシップが重要インフラ事業者への優先情報提供を行う枠組みについて、電力業界を対象として実現可能な方策について検討しました。具体的には、有識者や関係者によるワーキンググループを設置して、並行して進めたヒアリング調査の結果を踏まえ議論を重ね、研究会の承認を経て「電力事業者への優先情報提供の実現に向けた調査報告書」をとりまとめました。
資料の構成(目次)
1. 背景・目的
1.1. 重要インフラにおけるサイバーセキュリティ強化の必要性
1.2. 情報セキュリティ早期警戒パートナーシップに求められる役割
1.3. 優先提供の実施根拠
1.4. 事業者の選定基準
1.5. 優先提供可能な事業分野
1.6. 電力業界における取組み
1.7. 本調査の目的・概要
2. 電力事業者への優先情報提供に係る検討結果
2.1. 検討の概要
2.2. 優先提供の目的・意義
2.3. 優先提供すべき情報の判断基準
2.4. 優先提供すべき情報の範囲
2.5. 優先提供すべき情報の内容、タイミング
2.6. 優先情報提供の通知方法
2.7. 優先情報提供の通知先と情報管理体制
3. 留意すべき課題
3.1. 懸案課題と考えられる対応
3.2. 次年度以降の検討課題
4. まとめ
4.1. 情報セキュリティ早期警戒パートナーシップガイドラインの変更
付録1 情報セキュリティ早期警戒パートナーシップガイドライン改訂案
付録2 主要ワークフロー(イメージ)の補足説明
「脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書」公開
情報セキュリティ早期警戒パートナーシップ運営におけるリソースの活用を最適化し社会全体のリスクを下げるように、届け出られた脆弱性情報の取扱い基準を決定・選別して、深刻度等からパートナーシップにおける脆弱性情報の取扱いを判断する基準や取扱ルールについて検討しました。具体的には、有識者や関係者によるワーキンググループを設置して議論を重ね、研究会の承認を経て「脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書」をとりまとめました。
報告書の構成(目次)
1. 基本的な考え方と改善方策
1.1. 基本的な考え方
1.2. 基本的な考え方に基づく改善方策
1.3. 基本的な考え方に基づく改善方策の分類
2. 現告示に基づく改善方策
2.1. パートナーシップの運用方針の見直し(A1)
2.2. 製品開発者との連携強化(A2)
2.3. 発見者との連携強化 (B1)
2.4. 受理審査の効率化(B2a)
2.5. 脆弱性届出の処理の効率化(B2b)
3. 将来の改善方策
3.1. 制限時間の設定(C1)
3.2. 例外的な案件への柔軟な対応(C2)
4. まとめ
4.1. 情報セキュリティ早期警戒パートナーシップガイドラインの変更
情報セキュリティ早期警戒パートナーシップガイドライン 改訂
主に以下の3点について変更を行いました。
- 重要インフラ事業者への優先情報提供の実現に向けた調査結果の反映脆弱性情報取扱いの判断基準と取扱い
- ルールの策定に関する調査結果の反映
- 省令制定・告示改正の反映(調整不能案件の公表を含む)
また、告示改正に伴う変更に基づき適宜修正を行いました。
- 優先情報提供の中の記載の変更
- 発見者の脆弱性届出書の記載事項を変更
- 自社製品届出の必須化
- 統計情報の公表頻度
- 用語の定義、表現の変更 等
追加箇所は太字、削除箇所は取り消し線で表しています。
詳しくは、「情報システム等の脆弱性情報の取扱いに関する研究会 2016年度報告書」を参照下さい。
脚注
(*1)ソフトウェア製品及びウェブサイトに関する脆弱性関連情報を円滑に流通し、対策の普及を図るための、公的ルールに基づく官民の連携体制です。経済産業省告示に基づき、2004年7月より開始しました。
資料のダウンロード
2016年度 新規公開資料
- 「情報システム等の脆弱性情報の取扱いに関する研究会」2016年度報告書(全87ページ)(PDF:2.1MB)
- (別紙1)電力事業者への優先情報提供の実現に向けた調査報告書(全38ページ)(PDF:1.4MB)
- (別紙2)脆弱性情報の取扱い判断基準と取扱ルールに関する調査報告書(全22ページ)(PDF:1.3MB)
- (別紙3)情報セキュリティ早期警戒パートナーシップガイドライン改訂案(全60ページ)(PDF:1.7MB)
過去公開資料の更新
- ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル 第4版(全10ページ)(PDF:519KB)
- ウェブサイト構築事業者のための脆弱性対応ガイド 第4版(全21ページ)(PDF:1.2MB)
- ウェブサイト運営者のための脆弱性対応ガイド 第3版(全24ページ)(PDF:1.2MB)
- セキュリティ担当者のための脆弱性対応ガイド 第3版(全24ページ)(PDF:1.4MB)
- 情報システムの安全を維持していただくために 第3版(全4ページ)(PDF:289KB)
- 制御システム利用者のための脆弱性対応ガイド 第3版(全36ページ)(PDF:1.2MB)
アンケートのお願い
よろしければ今後のサービス向上を図るため、「情報システム等の脆弱性情報の取扱いに関する研究会」2016年度報告書 に関するアンケートにご協力ください。
ガイドライン改訂案に関するパブリック・コメント受付
ガイドライン改訂案へのパブリック・コメントについては、2017年3月30日~2017年4月27日の期間で受け付けます。以下「本件に関するお問い合わせ先」のメールアドレス宛へお願いします。
お問い合わせ
IPA セキュリティセンター 渡辺/板橋
TEL:03-5978-7527 FAX:03-5978-7552
公表日
2017年3月30日(木)