経済産業省ら、脆弱性関連情報をむやみに第三者に公開しないよう求める声明を発表

　経済産業省、独立行政法人情報処理推進機構（IPA）、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）、国家サイバー統括室（NCO）は9月9日、国内の脆弱性関連情報を取り扱う全ての人に対し「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応を取るよう声明を発表した。

　経済産業省は、ソフトウェアなどの脆弱性を悪用した不正アクセス行為やコンピューターウイルスによる企業活動の停止や情報資産の滅失、個人情報の漏えい等の被害発生を抑制するため、脆弱性関連情報（脆弱性の性質、検証方法、攻撃方法のいずれかに該当する情報）が発見された場合の取り扱いについて示した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」を策定している。

　この内容を踏まえ、IPA、JPCERT/CC、一般社団法人電子情報技術産業協会（JEITA）、一般社団法人ソフトウェア協会（SAJ）、一般社団法人情報サービス産業協会（JISA）、特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）が共同で「情報セキュリティ早期警戒パートナーシップガイドライン」を策定している。

　同ガイドラインでは、発見された脆弱性関連情報が無関係な第三者に漏れないよう、関係者（発見者、IPA、JPCERT/CC、製品開発者やウェブサイト運営者）の間で管理され、製品開発者やウェブサイト運営者による検証・対策実施が済んだうえで公表されるまでの流れや、各機関の役割などが示されている。脆弱性が悪用され、不特定多数の人々に被害を及ぼす可能性を低減することが、ガイドラインの趣旨となる。

脆弱性関連情報の届出受付業務の取扱いプロセス（IPAより）

　声明では、脆弱性を発見した場合は受付機関であるIPAへの届け出を行うとともに、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談するよう呼びかけている。

　このほか、製品開発者やウェブサイト運営者に対して、責任ある情報開示とそれに向けた必要な関係者との協調・協力を求めた。また、報道機関などに対しても、同ガイドラインの趣旨を理解し、公表前の脆弱性関連情報を、報道やSNSでの発信などを通じてむやみに第三者に開示することは控えるよう呼びかけている。