JPCERTコーディネーションセンター(JPCERT/CC)は5月30日、「JPCERT/CC脆弱性関連情報取扱いガイドライン」の改訂版を公開した。

このガイドラインは、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」と、IPAとJPCERT/CCによる「情報セキュリティ早期警戒パートナーシップガイドライン」に対応し、製品開発者に脆弱性関連情報の取扱いに関する事項をお知らせすることを目的として作成された。

経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」が5月14日に改正されたことに伴い、「情報セキュリティ早期警戒パートナーシップ」の一部運用が変更された。

具体的には、製品開発者の連絡先がわからない、または連絡先はわかるが応答が無いなど、公表に向けて製品開発者との合意を形成することが困難であると判断した場合のIPAおよびJPCERT/CCによる取り扱いが変更されている。

同ガイドラインは、JPCERT/CCが製品開発者の連絡窓口である製品脆弱性対策管理者に期待する役割を中心に、脆弱性関連情報の受領から公表に至るまでのプロセスについて詳細に記述している。