脆弱性情報取扱い届出

脆弱性情報取扱い届出とは

「脆弱性情報取扱い届出」は、ソフトウェア製品やウェブアプリケーションに発見されたセキュリティ上の欠陥（脆弱性）を、発見者が公的な窓口へ届け出る制度です。経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」と、IPA・JPCERT/CCが運用する「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいて運用されています。

これは営業許可のような「事業を始めるための許認可」ではなく、脆弱性を悪用される前に開発者へ修正を促し、利用者へ安全に情報公開するための調整の仕組みです。届出によって発見者が独断で脆弱性を公表してしまうリスクを避け、社会全体の被害を抑えることが目的です。

誰が関わるのか（届出者と受付・調整機関）

• 届出者: 脆弱性を発見した個人・研究者・セキュリティ企業など。誰でも届出が可能
• 受付機関: IPA（独立行政法人情報処理推進機構）が窓口
• 調整機関: JPCERTコーディネーションセンターが製品開発者との連絡・公表時期の調整を担う

事業者として関係するのは、主に次の二つの立場です。一つは「他社製品の脆弱性を見つけた発見者」としての届出。もう一つは、自社が製品を提供する「製品開発者」として、IPA・JPCERT/CCから連絡を受け、修正と公表に協力する立場です。

届出の流れ

• IPAの届出受付サイト（脆弱性関連情報の届出フォーム）から、対象製品、再現手順、影響などを記載して送信する
• IPAが内容を受理し、ソフトウェア製品の場合はJPCERT/CCへ引き継がれる
• JPCERT/CCが製品開発者へ連絡し、修正パッチの準備と公表日を調整する
• 対策が整った段階でJVN（Japan Vulnerability Notes）等を通じて公表される

ウェブアプリケーション（特定サイトの脆弱性）の場合は、IPAが直接そのサイト運営者へ通知し、JVNでの公表は原則行いません。

費用

届出・取扱いに手数料はかかりません。無料の制度です。発見者・開発者ともに費用負担なく利用できます。

受理されにくい・差し戻されやすいケース

• 再現手順や影響範囲が不明確で、脆弱性として検証できないもの
• 設計上の仕様や既知の問題で、新規の脆弱性とは言えないもの
• 取扱基準の対象外（例: 受付対象外のシステムや、すでに公表済みの情報）
• 届出前に発見者が無断で公表してしまった情報

検証可能な具体的手順を添えることが、円滑な受理の鍵になります。

製品開発者側の留意点

自社が製品開発者として登録されると、脆弱性連絡の受領窓口を整えておく必要があります。開発者向けには「製品開発者登録」の仕組みがあり、JPCERT/CCからの連絡を確実に受け取れる体制（連絡先メールアドレスの維持、対応担当の設置）が求められます。連絡を放置すると、調整が進まないまま公表時期が到来し、未修正のまま情報が公開されるリスクがあります。

次にすべきこと

• 発見者の立場なら、まず公表せずIPAの届出受付サイトから届け出る
• 製品を販売・公開している事業者なら、脆弱性連絡用の窓口（メール等）を整備し、製品開発者登録を検討する
• 制度の詳細・最新の取扱基準はIPAおよびJPCERT/CCの公式ガイドラインで確認する（運用ルールは改定されることがあるため、届出前に最新版を参照する）