（1）脆弱性対策情報の登録件数が累計30,000件を超過

　2012年第3四半期に、脆弱性対策情報データベース「JVN iPedia（ http://jvndb.jvn.jp/ ）」日本語版に登録した脆弱性対策情報は7,909件で、2007年4月25日の公開開始からの登録件数の累計が30,843件となりました。第3四半期における登録情報の内訳は、国内製品開発者から収集したものが2件（累計135件）、脆弱性対策情報ポータルサイトJVN^(*1)から収集したものが171件（累計2,179件）です。また米国国立標準技術研究所NIST^(*2)の脆弱性データベース「NVD^(*3)」から、収集・翻訳したものが7,736件（累計28,529件）です。

（2）産業用制御システムの深刻な脆弱性に関する対策情報が多数登録

　工場の生産設備等で使用されるコントローラや監視モニタ等の産業用制御システム（ICS：Industrial Control Systems）に関する脆弱性対策情報のJVN iPediaへの登録が年々増加しています。そのうち、共通脆弱性評価システムCVSS^(*4)による分類で最も深刻度の高いレベルIII（危険、CVSS基本値=7.0〜10.0）のものが62%を占めており、登録されている他のソフトウェア全般と比較して、深刻度の高い脆弱性に関する対策情報が多く登録されています。

　産業用制御システムの利用者は、脆弱性情報を定期的に収集し、利用している製品に脆弱性が存在する場合、開発元や販売元にバージョンアップ等対策の有無を確認し、速やかな対応を検討してください。直ちに対策することが困難な場合は、産業用制御システムが設置されているネットワーク等の利用環境やリスクを評価し、その改善や対策を図るなどの対応を検討してください^(*5)。また、IPAでは、制御システムに特化した米国の対応機関ICS-CERT^(*6)などが発行する公開文書のうち、注目すべき文書の抄訳をウェブで公開^(*7)していますので、こちらもご参照ください。

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*4)Common Vulnerability Scoring System。共通脆弱性評価システム。
http://www.ipa.go.jp/security/vuln/CVSS.html

(*5)制御機器の脆弱性に関する注意喚起
http://www.ipa.go.jp/about/press/20120229.html

(*6)Industrial Control Systems Cyber Emergency Response Team
http://www.us-cert.gov/control_systems/ics-cert/

(*7)制御システムのセキュリティ
http://www.ipa.go.jp/security/controlsystem/

• プレスリリース全文 (PDFファイル 218KB)
• 別紙1 (PDFファイル 298KB)
• 別紙2 (PDFファイル 327KB)

• 脆弱性対策情報データベースJVN iPediaの登録状況の一覧

IPA 技術本部 セキュリティセンター　渡辺／大森

IPA 戦略企画部 広報グループ　横山／佐々木