2025年9月9日
昨今の国内における報道等での脆弱性関連情報の取扱いを踏まえて、今般、経済産業省、独立行政法人情報処理推進機構(IPA)、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)及び国家サイバー統括室から、国内の脆弱性関連情報を取り扱う全ての皆様(脆弱性関連情報の発見者、製品開発者やウェブサイト運営者、報道機関その他産業界の皆様等)に向けて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応に関するお願いについてお伝えします。
経済産業省では、経済社会の活力の向上及び持続的発展並びに国民の皆様が安全で安心して暮らせる社会の実現に資することを目的として、ソフトウェア等の脆弱性(※1)を悪用した不正アクセス行為やコンピュータウイルスによる企業活動の停止や情報資産の滅失、個人情報の漏えい等の被害発生を抑制するため、脆弱性関連情報(※2)が発見された場合にそれらをどのように取り扱うべきかを示した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号)を制定しています。
※1:脆弱性とは、ソフトウェア製品等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となりうるセキュリティ上の問題箇所のことを指します。
※2:脆弱性関連情報とは、脆弱性情報(脆弱性の性質、特徴)、検証方法、攻撃方法のいずれかに該当する情報のことを指します。
※2:脆弱性関連情報とは、脆弱性情報(脆弱性の性質、特徴)、検証方法、攻撃方法のいずれかに該当する情報のことを指します。
この告示を踏まえ、IPA、JPCERT/CC、一般社団法人電子情報技術産業協会(JEITA)、一般社団法人ソフトウェア協会(SAJ)、一般社団法人情報サービス産業協会(JISA)及び特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しています。
このガイドラインでは、発見された脆弱性関連情報が無関係な第三者に漏れないよう、関係者(発見者、IPA、JPCERT/CC、製品開発者やウェブサイト運営者)の間で適切に管理され、製品開発者やウェブサイト運営者による検証・対策実施が済んだうえで公表されることで、不特定多数の人々に被害を及ぼす脆弱性が悪用される可能性を低減できるよう、関係者に推奨する行為がとりまとめられています。
脆弱性を発見された方は、受付機関であるIPAへの届出を行っていただき、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談いただくようお願いいたします。
脆弱性関連情報の調査・報告は、その管理及び開示において真摯な態度を保っていただく限りにおいて社会的に有用なものと考えております。
製品開発者やウェブサイト運営者の方においても同様に、責任ある情報開示とそれに向けた必要な関係者との協調・協力をお願いいたします。
加えて、報道機関その他産業界の皆様におかれても、同ガイドラインの趣旨を理解いただき、公表前の脆弱性関連情報は慎重な取扱いが必要であることをご認識のうえ、報道やSNSでの発信等を通じてむやみに第三者に開示することは控えていただくようお願いします。
経済産業省
独立行政法人情報処理推進機構(IPA)
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
国家サイバー統括室
今後の予定
脆弱性情報の取扱いに関する課題や改善事項等については、これまでもIPAが主催する「情報システム等の脆弱性情報の取扱いに関する研究会」において議論を行い、改善に取り組んで参りました。昨今の国内における報道等での脆弱性関連情報の取扱いも踏まえて、今後、同研究会で議論を進めて参ります。なお、令和7年5月16日のサイバー対処能力強化法の成立に伴い、本制度の施行以降、内閣総理大臣及び電子計算機等供給事業所管大臣の下、脆弱性対応の強化が図られます。これを踏まえ、脆弱性関連情報取扱いの仕組みについても同研究会での議論を通じて必要な見直しの検討を行っていく予定です。
関連リンク
ソフトウエア製品等の脆弱性関連情報に関する取扱規程(平成29年経済産業省告示第19号)
お問合せ先
商務情報政策局 サイバーセキュリティ課長 武尾担当者: 薄羽、関戸
電話:03-3501-1511(内線:3964)
E-MAIL:bzl-cyber-madoguchi★meti.go.jp
※[★]を[@]に置き換えてください。
最終更新日:2025年9月9日