ハッカーたちの間では、セキュリティ向上のために研究を共有することの重要性が何年も前から知られていた。一方、協調して脆弱性を開示することの重要性も、世界中の政府によってますます認識されるようになってきた。情報開示とセキュリティ研究者の保護という原則は国境を越えて共通であるものの、国によって重要な違いがある。本パネルでは、重要な公共政策や企業の行動に影響を与える可能性のあるグローバルな視点を提示する。 ENISAは、2022年4月に「EUにおける脆弱性開示政策の調整」を発表した。本報告書では、EU加盟国における脆弱性開示の協調政策の現状を客観的に紹介するだけでなく、中国、日本、米国における脆弱性開示の運用を紹介している。それらを踏まえて、協調的な脆弱性開示プロセスに望ましい要素やベストプラクティスの要素を検討し、その後、課題や問題点について議論する予定。 本報告書の内容を共有し、日本における運用の課題と今後の方向性、米国における国家安全保障と脆弱性対応の課題を、各法域の代表者とのパネルディスカッションで明らかにすることを目的としています。 パネリストは、日本では早期警戒パートナーシップ通知機関の実務に携わる方々、欧州では上記報告書の執筆者、米国では上記報告書の寄稿者 日本では、脆弱性対応における体制意識、インセンティブ、未処理案件の増加、いわゆるトリアージなどの課題が紹介される予定 米国からは、国家安全保障のための脆弱性情報の開示方針（Vulnerabilities Equities Process）、脆弱性研究の不起訴方針の公表などを紹介するとともに、この問題の歴史的背景を紹介する。 パネルディスカッションを通じて、脆弱性開示政策を取り巻く国際情勢や今後の動向、特にサイバーセキュリティにおける脆弱性の重要な役割とそれを取り巻く社会が抱える課題について参加者に理解していただくことを目的とする。

1. 情報セキュリティ早期警戒パートナーシップの
ご紹介
2022 年 10 月 28 日
独立行政法人情報処理推進機構
セキュリティセンター
セキュリティ対策推進部 脆弱性対策グループ
板橋博之

2. 2
「情報セキュリティパートナーシップ」とは
経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」により規
定されてており、目的は以下の通り。
目的：
本規程は、サイバーセキュリティの確保のため、ソフトウエア製品等の脆弱性関連情報を
取り扱う者に推奨する行為を定めることにより、コンピュータウイルス、コンピュータ不正アク
セス等によって不特定又は多数の者に対して引き起こされる被害を予防し、これらへの対
策を講じ、もって情報の適切な流通の促進を図り、経済社会の活力の向上及び持続的
発展並びに国民が安全で安心して暮らせる社会の実現に資することを目的とする。
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－制度について①－

3. 3
「情報セキュリティパートナーシップガイドラン」とは
■制度の成り立ち
「情報セキュリティ早期警戒パートナーシップガイドライン」は、前記の告示をふまえ、脆弱性関連情報(*)
の適切な流通を実現するために、関係者に推奨する行為をとりまとめたものです。具体的には、独立行政
法人情報処理推進機構が受付機関、一般社団法人JPCERTコーディネーションセンターが調整機関とい
う役割を担い、脆弱性関連情報の発見者、ソフトウエアの製品開発者、ウェブサイト運営者と協力をしな
がら、脆弱性に対処するプロセスを記述しています。
(*)脆弱性に関する情報であり、脆弱性情報（脆弱性の性質、特徴）、検証方法、攻撃方法のいずれ
かに該当する情報を指します。
■適用範囲
本ガイドラインの適用範囲は、脆弱性により不特定多数の人々に被害を及ぼすもの、具体的には、国内
で利用されているソフトウエア製品や、主に日本国内からのアクセスが想定されるサイトで稼動するウェブア
プリケーション（例えば、主に日本語で記述されたウェブサイトや、URLが「jp」ドメインのウェブサイト等）が
対象となります。
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－制度について②－

4. 4
「情報セキュリティパートナーシップガイドライン」の関係者、メリットは以下
の通り。
関係者 情報セキュリティ早期警戒パートナーシップのメリット
発見者 • 公的機関を介して製品開発者やウェブサイト運営者に脆弱性対応を促すこと
ができる
• 製品脆弱性の発見者は、脆弱性対策情報の公表時に名前を掲載すること
ができる
製品開発者 • 自社製品に影響する未公表の脆弱性を知ることができる
• 脆弱性の対策方法を利用者に広く周知することができる
• 脆弱性問題に真摯に取り組む姿勢を示すことができる
ウェブサイト運営者 • 脆弱性の存在が広く知れ渡る前に、修正することができる
• 自分では気づかなかった脆弱性を確認し修正することができる
• 自分のウェブサイトの利用者の安全性向上につながる
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－制度について③－

5. 脆弱性対策情報ポータル
セキュリティ対策推進協議会等
公表日の決定、
海外の調整機関
との連携等
ソ
フ
ト
ウ
ェ
ア
製
品
の
脆
弱
性
ウ
ェ
ブ
ア
プ
リ
ケ
ー
シ
ョ
ン
の
脆
弱
性
発
見
者
脆弱性関連
情報届出
脆弱性関連
情報通知
対応状況の集約、
公表日の調整等
個人情報漏えい時は
事実関係を公表
対策状況
等公表
ユーザ
個人
企業
政府
情報セキュリティ早期警戒パートナーシップ
※JPCERT/CC：一般社団法人 JPCERT コーディネーショ ンセンター、産総研：国立研究開発法人 産業技術総合研究所
ウェブサイト運営者
検証、対策実施
ソフトウェア
製品開発者
検証、対策実施
システム
導入支援者
受付・分析機関
分析支援機関
産総研など
報告された
脆弱性関連情報
の内容確認・検証
脆弱性関連
情報届出
脆弱性関連
情報通知
調整機関
※IPA：独立行政法人情報処理推進機構、JPCERT/CC：一般社団法人 JPCERTコーディネーションセンター、産総研：国立研究開発法人産業技術総合研究所
ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の
攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所
脆弱性
5
「情報セキュリティパートナーシップ」の体制について
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用体制等－

6. 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用状況①－
6
■日本語版：https://www.ipa.go.jp/security/vuln/report/vuln2022q2.html
■英語版：https://www.ipa.go.jp/files/000100344.pdf
33 112
288 197 231 154 128 141 185 271 209 442 1,045 462 326 232 244 309
140 294
315 374 2,391 1,446 379 691 671 884 1,118
413
370
142 238
905 754 605
173 579
1,182
1,753
4,375
5,9756,4827,314
8,170
9,325
10,652
11,507
12,922
13,526
14,090
15,227
16,225
17,139
0件
2,000件
4,000件
6,000件
8,000件
10,000件
12,000件
14,000件
16,000件
18,000件
0件
500件
1,000件
1,500件
2,000件
2,500件
3,000件
200420052006200720082009201020112012201320142015201620172018201920202021
ソフトウェア製品 ウェブサイト 累計
年間
届出件数
累計
届出件数
「情報セキュリティパートナーシップ」の運用状況（届出受付件数：2021年12月末）について

7. 7
2022年第2四半期 脆弱性届出件数
脆弱性の届出件数の四半期ごとの推移
分類 本四半期件数 累計
ソフトウェア製品 75件 5,157件
ウェブサイト 88件 12,308件
合計 163件 17,465件
ソフトウェア製品の脆弱性対策情報の公表件数 2022年第2四半期 修正完了（JVN公表）件数
分類 本四半期件数 累計
ソフトウェア製品 27件 2,417件
ウェブサイト 29件 8,290件
合計 56件 10,707件
16 17 30 19 22 20 35 32 27 22 25 24
22 30 30 73 75 69 75 85 73 92 58 97
1,732 1,749 1,779 1,798 1,820 1,840 1,875 1,907 1,934 1,956 1,981 2,005
1,711 1,741 1,771 1,844 1,919 1,988 2,063 2,148 2,221 2,313 2,371 2,468
0件
200件
400件
600件
800件
1,000件
1,200件
1,400件
1,600件
1,800件
2,000件
2,200件
2,400件
2,600件
0件
20件
40件
60件
80件
100件
120件
140件
3Q
2019
4Q 1Q
2020
2Q 3Q 4Q 1Q
2021
2Q 3Q 4Q 1Q
2022
2Q
国内外の発見者からの届出 海外のCSIRTからの連絡
国内外の発見者からの届出(累計) 海外のCSIRTからの連絡（累計）
四半期件数 累計件数
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用状況②－
61 67 61 52 58 73 71 80 93
63 75 75
284 105 200 136 188 230 180 223 109 85 98 88
4,389 4,456 4,517 4,569 4,627 4,700 4,771 4,851 4,944 5,007 5,082 5,157
10,666 10,771 10,971 11,107 11,295 11,525 11,705 11,928 12,037 12,122 12,220 12,308
0件
2,000件
4,000件
6,000件
8,000件
10,000件
12,000件
14,000件
0件
100件
200件
300件
400件
500件
600件
700件
800件
3Q
2019
4Q 1Q
2020
2Q 3Q 4Q 1Q
2021
2Q 3Q 4Q 1Q
2022
2Q
累計件数
四半期件数 ソフトウェア製品 ウェブサイト
ソフトウェア製品（累計） ウェブサイト（累計）
直近の3年間について、ソフトウェアの届出
件数は大きな変動はないが、ウェブサイト
については、2021年以降減少傾向に転じ
ている。

8. 8
ウェブサイトの届出 取扱い状況
ソフトウエア製品の届出 取扱い状況
8,290 1,130 710 1,662
2022年
6月末
修正完了 注意喚起
脆弱性でない 不受理 251
取扱不能 207
合計
12,308件
全届出に対し、86% が終了
取扱い中
終了件数 10,646 件(86%)
2,417
40
107 506 2,087
2022年
6月末
全届出に対し、60% が終了
公表済み 不受理 取扱い中（※）
合計
5,157件
脆弱性でない
（※）このうち、連絡不能製品開発者 191件
個別対応（JVN公表を行わず、製品開発者が個別対応したもの）
終了件数 3,070 件(60%)
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用状況③－
状況：
全届出に対して40％が現在も取扱
いを継続している状況。
状況：
全届出に対して終了した件数が、
86％という状況であるあり、ソフトウェ
ア製品と比較をすると、終了する割
合が高い状況である。

9. 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用状況④－
9
 届出製品の種類
- 「ウェブアプリケーション」、「ルータ」の
届出で過半数。
- 「スマートフォン向けアプリ」の届出も増
加している。
 届出製品に対する影響
- 「任意のスクリプトの実行」、「任意のコ
マンドの実行」、「情報の漏えい」の届出で
過半数。
ソフトウエア製品 影響別届出件数
ソフトウエア製品 製品種類別届出件数
35%
12%
10%
8%
8%
5%
4%
4%
3% 11%
任意のスクリプトの実行
任意のコマンドの実行
情報の漏洩
なりすまし
任意のコードの実行
アクセス制限の回避
サービス不能
任意のファイルへのアクセス
データベースの不正操作
その他
43%
9%
8%
5%
4%
4%
3%
2%
2%
2%
18%
ウェブアプリケーションソフト
ルータ
スマートフォン向けアプリ
グループウェア
アプリケーション開発・実行環境
情報家電
ウェブブラウザ
ファイル管理ソフト
システム管理ソフト
OS
その他

10. 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用状況⑤－
10
 届出製品の種類
- 「クロスサイト・スクリプティング」の届
出で過半数。
- 「DNS情報の設定不備」、「SQLイン
ジェクション」の届出で８０％。
 届出製品に対する影響
- 「本物サイト上への偽情報の表示」の届
出で過半数
ウェブサイト 影響別届出件数
ウェブサイト 脆弱性の種類別届出件数
58%
11%
11%
4%
2%
2%
12%
クロスサイト・スクリプティング
DNS情報の設定不備
SQLインジェクション
ファイルの誤った公開
ディレクトリ・トラバーサル
HTTPSの不適切な利用
その他
57%
12%
11%
4%
4%
3% 2% 7%
本物サイト上への偽情報の表示
データの改ざん、消去
ドメイン情報の挿入
サーバ内ファイルの漏洩
個人情報の漏洩
なりすまし
Cookie情報の漏洩
その他

11. 11
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用における課題①－
ソフトウエア製品の届出
 開発者の脆弱性対応に時間が掛かる
届出されるソフトウェア製品の種類範囲が広がり（スマートフォンアプリ、制御系ソフトウェア等）、脆弱性
情報を製品開発者に連絡をしても、製品開発者側で脆弱性情報の調査（対象製品の種類が多い等）、
対策をするのに時間が掛かるケースがある
 開発者と調整途中で連絡が取れなくなる
届出されるソフトウェア製品の種類も多岐に渡るため、個人の製品開発者が作成したソフトウェア製品等
の届出もあり、脆弱性情報を製品開発者に届出をしても、調整途中で製品開発者との連絡が途絶える
ケースがある
 脆弱性対策情報の公表に否定的
脆弱性情報の公表＝ソフトウェア製品の脆弱性が多い（品質が良くない）と、製品利用者から認識され
るため、脆弱性情報の公表を積極的にするという風潮が醸成されていない状況である

12. 12
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用における課題②－
ウェブサイトの届出
 ウェブサイト運営者との連絡に時間が掛かる
届出されるウェブサイトに関して、脆弱性情報を連絡する際に、ウェブサイト運営者の連絡先を調査するが、
ウェブサイト上に連絡先（セキュリティ関連の連絡先）等が明示されていないため、連絡先の調査及び、
適切な連絡先に連絡をするのに時間が掛かる
 脆弱性対応に時間が掛かる
届出されるウェブサイトの実質的な運営者の組織も多岐に渡り（大企業から個人等）、脆弱性情報を
ウェブサイト運営者に連絡をしても、ウェブサイト運営者側で脆弱性情報の調査（対策要員不足等）、
対策をするのに時間が掛かるケースがある

13. 13
情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）
－運用における課題への対策－
ソフトウエア製品の届出
 脆弱性対策に前向きな製品開発者を評価
届出されるソフトウェア製品の脆弱性について、積極的に脆弱性対策および、脆弱性対策情報を公表し
た製品開発者を評価する仕組について、本制度においても検討をする予定
 ソフトウェア開発者への脆弱対策の必要性についての普及
ソフトウェア開発者への脆弱性対策の必要性について、関係団体へも協力を頂いて普及啓発資料の展開
を継続して実施する
ウェブサイトの届出
 ウェブサイトの脆弱性情報等の連絡先の明示の普及
ウェブサイト運営者向けに、「セキュリティ問い合わせ窓口設置」を公開しているが、今後も引き続き普及・
啓発を継続して実施する
 ウェブサイト運営者への脆弱対策の必要性についての普及
ウェブサイト運営者へ脆弱性対策の必要性についての普及啓発活動をして、普及啓発資料、動画配信
等を継続して実施する