答え ウ
【解説】
“情報セキュリティ早期警戒パートナーシップガイドライン”ではソフトウエア製品に係る脆弱性関連情報取扱は以下のようになっています。
- 発見者は、IPAに脆弱性関連情報を届け出る
- IPAは、受け取った脆弱性関連情報を、原則としてJPCERT/CCに通知する
- JPCERT/CCは、脆弱性関連情報に関係する製品開発者を特定し、製品開発者に脆弱性関連情報を通知する
- 製品開発者は、脆弱性検証を行い、その結果をJPCERT/CCに報告する
- JPCERT/CCと製品開発者は、対策方法の作成や海外の調整機関との調整に要する期間、当該脆弱性情報流出に係るリスクを考慮しつつ、脆弱性情報の公表に関するスケジュールを調整し決定する
- 製品開発者は、脆弱性情報の公表日までに対策方法を作成するよう努める
- 製品開発者は、製品利用者に生じるリスクを低減できると判断した場合、JPCERT/CCと調整した上で、公表日以前に製品利用者に脆弱性検証の結果、対策方法および対応状況について通知することができる
- IPAおよびJPCERT/CCは、脆弱性情報と、3)にてJPCERT/CCから連絡したすべての製品開発者の脆弱性検証の結果、対策方法および対応状況を公表する
- IPAは統計情報を、原則、四半期ごとに公表する