製品開発者向け・製品利用者向けガイド情報セキュリティ IPA 独立行政法人情報処理推進機構

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [製品開発者向け・製品利用者向けガイド | 情報セキュリティ | IPA 独立行政法人情報処理推進機構](https://www.ipa.go.jp/security/guide/vuln/for_dev_user.html)【IPA】(2026年4月5日) --- > [!NOTE] この記事の要約（箇条書き） - 独立行政法人情報処理推進機構 (IPA) セキュリティセンターが2026年3月31日に「製品開発者向け・製品利用者向けガイド」を公開しました。 - このガイドは、ソフトウェアの脆弱性を悪用するサイバー攻撃の被害を最小限に抑えることを目的としています。 - **製品開発者向けガイド** - 製品開発者が実施すべき脆弱性対処と開示方法を段階的に解説しています。 - 主に不特定多数の利用者が使用するインターネット接続製品（ソフトウェア、パッケージソフトウェア、組み込み機器など）を対象としています。 - **製品利用者向けガイド** - 製品利用者が実施すべき脆弱性対処（人材、プロセス、技術の整備、方針・体制）を組織のリソースに応じて段階的に示しています。 - 中規模から大規模の組織におけるCSIRTやセキュリティ担当者などを主な読者としています。 - 両ガイドおよび各リーフレットはPDF形式でダウンロード可能です。 - 関連する参考資料や、IPAセキュリティセンターへのお問い合わせ先（E-mail）も記載されています。 > [!NOTE] 要約おわり --- ## 製品開発者向け・製品利用者向けガイド公開日：2026年3月31日独立行政法人情報処理推進機構セキュリティセンター昨今、多くの組織でAIの利用が事業活動に生かされつつあるなか、ソフトウェアの利用のされ方はより多様になってきています。一方で、ソフトウェアの脆弱性を悪用するサイバー攻撃は増え続けており、万が一、被害に遭ってしまった場合、その影響は自組織内にとどまらず、より広範に及ぶ可能性があります。そこで今回、ソフトウェアの脆弱性に起因するサイバー攻撃の被害を最小限に抑えられるよう、ソフトウェアを開発する「製品開発者」と、ソフトウェアを利用する「製品利用者」を対象としたガイドを作成・公開しました。 ## ガイドの内容 ### 製品開発者向けガイド ![製品開発者向けガイドの表紙](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-img/r084t2000003dmvi.jpg) 製品開発者向けガイドでは、製品開発者が実施すべき脆弱性対処とその開示方法を掲載しています。実施すべき対処は段階的に示しているため、リソースに限りのある製品開発者においても、可能なところから取り組めるよう構成しています。なお、本ガイドは、2020年に公開している「脆弱性対処に向けた製品開発者向けガイド」（ [参考資料参照](#reference) ）を基に作成しました。同ガイドは一般消費者向け製品の製品開発者向けとして、引き続き公開していますので、併せてご参照ください。 #### 対象製品主に不特定または多数の製品利用者が利用するようなインターネット等のネットワークに接続する以下のような製品 - 単体で販売されるソフトウェア - 単体で販売されるパッケージソフトウェア - 機器に組み込まれるソフトウェア、ソフトウェアを組み込んだ機器等特定の製品利用者向けに、受託開発されたソフトウェアについては対象外。 #### 対象読者対象製品に関する製品開発者を想定しています。 - 自組織において、上記で開発したソフトウェア自体を製品として提供している事業者の方々（いわゆるソフトウェアの場合） - 自組織において、上記で開発したソフトウェアを組み込んだ製品を提供している事業者の方々（いわゆるハードウェアの場合） #### ガイドの活用方法 - 製品開発者がセキュリティ対策として実施すべき項目を把握できる - 実施する対処を徐々にレベルアップできる - 製品利用者に自組織の取組み状況をアピールするため、すべきことを把握できる ### 製品利用者向けガイド ![製品利用者向けガイドの表紙](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-img/r084t2000003dmw6.jpg) 製品利用者向けガイドでは、製品利用者が実施すべき脆弱性対処を掲載しています。脆弱性対処のうち、人材・プロセス・技術の整備や方針・体制については、組織のリソースに応じて実施できるよう段階的に示しており、可能なところから着手できるよう構成しています。本来、脆弱性対処はシステム・サービスのライフサイクル全体を通じた網羅的な実施が望ましいものです。しかし、最初からすべてを行うのはハードルが高い場合もあります。まずは自組織の状況に合わせて「どこから始められるか」を検討し、脆弱性対処の第一歩を踏み出す際の参考としてご活用ください。 #### 対象製品 - ソフトウェア・パッケージソフトウェア - ソフトウェアを組み込んだ機器 - 上記を含めて構築されるシステム・サービス（自社開発・委託開発を含む） #### 対象読者ソフトウェアやソフトウェアを含めて構築されるシステム・サービスを利用している組織のうち、比較的中規模から大規模の組織におけるCSIRT、IT・セキュリティ部門の脆弱性担当者、情報システム部門のセキュリティ担当者等を想定しています。 #### ガイドの活用方法 - 製品利用者がセキュリティ対策として実施すべき項目を把握できる - 委託先に求めるセキュリティ対策として要求すべき項目を把握できる - 実施する対処を徐々にレベルアップできる - 取引先やビジネスパートナーに対し、自組織の取組み状況をアピールするために必要な事項を把握できる ## ダウンロード ### ガイド - [![](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-img/r084t2000003dn0e.jpg) 製品開発者向けガイド(PDF:4.2 MB) 別ウィンドウで開く](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-att/guide_for_dev.pdf) - [![](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-img/r084t2000003dn18.jpg) 製品利用者向けガイド(PDF:3.4 MB) 別ウィンドウで開く](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-att/guide_for_usr.pdf) ### リーフレット - [![](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-img/r084t2000003dmxb.jpg) 製品開発者向けガイドのリーフレット(PDF:3.3 MB) 別ウィンドウで開く](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-att/guide_for_dev_leaflet.pdf) - [![](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-img/r084t2000003dmxq.jpg) 製品利用者向けガイドのリーフレット(PDF:3.3 MB) 別ウィンドウで開く](https://www.ipa.go.jp/security/guide/vuln/rcu1hd000000a5en-att/guide_for_usr_leaflet.pdf) ## 参考資料 - [脆弱性対処に向けた製品開発者向けガイド](https://www.ipa.go.jp/security/guide/vuln/forvendor.html) - [ソフトウエア製品開発者による脆弱性対策情報の公表マニュアル第6版(PDF:496 KB)別ウィンドウで開く](https://www.ipa.go.jp/security/reports/vuln/nq6ept000000ldxx-att/publication_manual.pdf)