情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い情報セキュリティ

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い | 情報セキュリティ](https://www.ipa.go.jp/security/renkei/rk20250909.html)【IPA】(2025年9月9日) --- > [!NOTE] この記事の要約（箇条書き） - **背景:** 国内における脆弱性関連情報の取り扱いに関する報道を受け、ガイドライン遵守の要請が発出されました。 - **主体:** 経済産業省、IPA、JPCERT/CC、国家サイバー統括室が、脆弱性関連情報を取り扱う全ての関係者（発見者、製品開発者、ウェブサイト運営者、報道機関など）に対して呼びかけています。 - **根拠:** 経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」に基づき、脆弱性の悪用による被害抑制を目指します。 - **ガイドライン:** IPAなどが策定した「情報セキュリティ早期警戒パートナーシップガイドライン」が存在します。 - **目的:** 脆弱性情報が関係者間で適切に管理され、製品開発者やウェブサイト運営者による検証・対策実施が済んだうえで公表されることで、不特定多数への被害を低減します。 - **脆弱性発見者への要請:** IPAへの届出、正当な理由がない限り第三者への開示の自粛、開示が必要な場合はIPAへの事前相談を求められます。 - **製品開発者・ウェブサイト運営者への要請:** 責任ある情報開示と関係者との協調・協力を求められます。 - **報道機関・産業界への要請:** ガイドラインの趣旨を理解し、公表前の脆弱性関連情報をむやみに第三者に開示しないよう求められます。 - **今後の予定:** IPA主催の「情報システム等の脆弱性情報の取扱いに関する研究会」で課題や改善事項が議論され、令和7年5月16日のサイバー対処能力強化法の成立に伴い、脆弱性関連情報取扱いの仕組みの見直しも検討されます。 > [!NOTE] 要約おわり --- 情報セキュリティ ![](https://www.ipa.go.jp/common/img/security/security_mv_sp.png) ## 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い公開日：2025年9月9日独立行政法人情報処理推進機構セキュリティセンター昨今の国内における報道等での脆弱性関連情報の取扱いを踏まえて、今般、経済産業省、独立行政法人情報処理推進機構（IPA）、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）及び国家サイバー統括室から、国内の脆弱性関連情報を取り扱う全ての皆様（脆弱性関連情報の発見者、製品開発者やウェブサイト運営者、報道機関その他産業界の皆様等）に向けて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応に関するお願いについてお伝えします。経済産業省では、経済社会の活力の向上及び持続的発展並びに国民の皆様が安全で安心して暮らせる社会の実現に資することを目的として、ソフトウェア等の脆弱性（注釈1）を悪用した不正アクセス行為やコンピュータウイルスによる企業活動の停止や情報資産の滅失、個人情報の漏えい等の被害発生を抑制するため、脆弱性関連情報（注釈2）が発見された場合にそれらをどのように取り扱うべきかを示した「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号）を制定しています。 1. 注釈1) 脆弱性とは、ソフトウェア製品等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となりうるセキュリティ上の問題箇所のことを指します。 2. 注釈2) 脆弱性関連情報とは、脆弱性情報（脆弱性の性質、特徴）、検証方法、攻撃方法のいずれかに該当する情報のことを指します。この告示を踏まえ、IPA、JPCERT/CC、一般社団法人電子情報技術産業協会（JEITA）、一般社団法人ソフトウェア協会（SAJ）、一般社団法人情報サービス産業協会（JISA）及び特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）が、「情報セキュリティ早期警戒パートナーシップガイドライン」を策定しています。このガイドラインでは、発見された脆弱性関連情報が無関係な第三者に漏れないよう、関係者（発見者、IPA、JPCERT/CC、製品開発者やウェブサイト運営者）の間で適切に管理され、製品開発者やウェブサイト運営者による検証・対策実施が済んだうえで公表されることで、不特定多数の人々に被害を及ぼす脆弱性が悪用される可能性を低減できるよう、関係者に推奨する行為がとりまとめられています。脆弱性を発見された方は、受付機関であるIPAへの届出を行っていただき、正当な理由がない限り脆弱性関連情報を第三者に開示せず、正当な理由により開示が必要である場合も事前にIPAに相談いただくようお願いいたします。脆弱性関連情報の調査・報告は、その管理及び開示において真摯な態度を保っていただく限りにおいて社会的に有用なものと考えております。製品開発者やウェブサイト運営者の方においても同様に、責任ある情報開示とそれに向けた必要な関係者との協調・協力をお願いいたします。加えて、報道機関その他産業界の皆様におかれても、同ガイドラインの趣旨を理解いただき、公表前の脆弱性関連情報は慎重な取扱いが必要であることをご認識のうえ、報道やSNSでの発信等を通じてむやみに第三者に開示することは控えていただくようお願いします。経済産業省独立行政法人情報処理推進機構（IPA）一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）国家サイバー統括室 ## 今後の予定脆弱性情報の取扱いに関する課題や改善事項等については、これまでもIPAが主催する「情報システム等の脆弱性情報の取扱いに関する研究会」において議論を行い、改善に取り組んで参りました。昨今の国内における報道等での脆弱性関連情報の取扱いも踏まえて、今後、同研究会で議論を進めて参ります。なお、令和7年5月16日のサイバー対処能力強化法の成立に伴い、本制度の施行以降、内閣総理大臣及び電子計算機等供給事業所管大臣の下、脆弱性対応の強化が図られます。これを踏まえ、脆弱性関連情報取扱いの仕組みについても同研究会での議論を通じて必要な見直しの検討を行っていく予定です。 ## 関連リンク - [情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い(経済産業省) 別ウィンドウで開く](https://www.meti.go.jp/policy/netsecurity/vul_request.html) - [ソフトウエア製品等の脆弱性関連情報に関する取扱規程(平成29年経済産業省告示第19号)(PDF) 別ウィンドウで開く](https://www.meti.go.jp/policy/netsecurity/vul_notification.pdf) - [情報セキュリティ早期警戒パートナーシップガイドライン(IPA)](https://www.ipa.go.jp/security/guide/vuln/partnership_guide.html) - [脆弱性関連情報の届出受付(IPA)](https://www.ipa.go.jp/security/todokede/vuln/uketsuke.html) - [脆弱性対策情報(一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)) 別ウィンドウで開く](https://www.jpcert.or.jp/vh/top.html) ## お問い合わせ先 IPAセキュリティセンター - E-mail ## 更新履歴 - ページを公開