IPAがソフトウェアの脆弱性届出受付開始、情報取り扱いガイドラインも公表

　情報処理推進機構（IPA）セキュリティセンター（IPA/ISEC）は、ソフトウェアやウェブアプリケーションの脆弱性に関する届出の受付を開始するとともに、脆弱性関連情報の取り扱いに関する「情報セキュリティ早期警戒パートナーシップガイドライン」を公表した。

　経済産業省は7月7日に「ソフトウエア等脆弱性関連情報取扱基準」を告示。IPAが届出の受付機関に、JPCERTコーディネーションセンター（JPCERT/CC）が製品開発者への連絡および公表に係わる調整機関として指定された。脆弱性に関する情報の届出窓口を一本化し、その情報と有効な対策方法を迅速かつ正確に流通させることを目的としている。

　情報の届出様式や記入の手引きはホームページで確認できる。受け付けは当面の間PGP暗号鍵による暗号化を施した電子メールで行われ、今秋からはウェブベースの届出システムの運用が開始される予定となっている。

　また、届出の受付開始にあわせて、IPA、JPCERT/CC、電子情報技術産業協会（JEITA）、情報サービス産業協会（JISA）、日本パーソナルコンピュータソフトウェア協会（JPSA）および日本ネットワークセキュリティ協会（JNSA）は「情報セキュリティ早期警戒パートナーシップガイドライン」を公表。脆弱性関連情報の流通にかかわる関係者および関係業界に対して推奨する行為を指針としてとりまとめている。

　IPAとJPCERT/CCは、この取り組みの中心的な存在となる製品開発者を対象にして「脆弱性関連の取扱い説明会」を、東京と福岡、大阪、名古屋、札幌で順次開催する。

「脆弱性関連情報の取扱い」について
脆弱性関連情報取り扱い説明会の開催について
「情報セキュリティ早期警戒パートナーシップガイドライン」本文（PDF）