（1）脆弱性対策情報の登録件数が累計22,000件を突破

　2012年第2四半期に、脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」日本語版に登録した脆弱性対策情報は7,040件で、2007年4月25日の公開開始からの登録件数の累計が22,934件となりました。第2四半期における登録情報の内訳は、国内製品開発者から収集したものが1件（累計133件）、脆弱性対策情報ポータルサイトJVN^(*1)から収集したものが273件（累計2,008件）です。また米国国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」から、収集・翻訳したものが6,766件（累計20,793件）です。

（2）JREの脆弱性対策情報が多数登録

　JVN iPediaには、JREとJava SE^(*4)の脆弱性対策情報が、2008年以降、年50件以上のペースで登録されています。そのうち、共通脆弱性評価システムCVSS^(*5)による分類で最も深刻度の高いレベルIII（危険、CVSS基本値=7.0〜10.0）のものが58%を占めています。2012年は、登録件数が27件、深刻度レベルIIIの割合が59％となっており、昨年までの傾向が続いています。2010年以降、JREおよびJava SEのセキュリティアップデートは、およそ年6回のペースで不定期に実施されています。他のソフトも含め迅速にバージョンアップを行うためには、利用者はアップデート公開情報を随時キャッチし、対策する必要があります。

　IPAでは、「ソフトウェアの自動更新」とともに、インストールされたソフトウェアのバージョン情報を調べて更新に必要な詳細情報を表示する「MyJVNバージョンチェッカ^(*6)」の利用を推奨しています。

（3）脆弱性対策情報の網羅性と即時性が向上

　IPAでは、米国NVDより日々公開される脆弱性対策情報の全件を、原則一両日のうちに翻訳し、JVN iPediaに速やかに登録するなど、脆弱性対策情報の網羅性と即時性の向上を図っています。これにより現在は、NVDで新たに公開された情報の3分の2以上を、当日中にJVNiPediaにおいても公開しています。

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)Java Standard Edition。Javaの開発プラットフォームの一つ。

(*5)Common Vulnerability Scoring System。共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*6)MyJVNバージョンチェッカ。
http://jvndb.jvn.jp/apis/myjvn/

• プレスリリース全文 (PDFファイル 227KB)
• 別紙1 (PDFファイル 310KB)
• 別紙2 (PDFファイル 334KB)

• 脆弱性対策情報データベースJVN iPediaの登録状況の一覧

IPA 技術本部 セキュリティセンター　渡辺／大森

IPA 戦略企画部 広報グループ　横山／佐々木