近年、OSやWebブラウザなどを中心に、深刻な脆弱性も数多く報告されており、ソフトウェアのアップデートなどの適切な対策が不可欠となっています。しかし、有効な対策をとりたくても、脆弱性に関する日本語の情報は極めて不十分でした。

　そこでIPAでは、JVNやNVDなどに掲載された情報を元に、ソフトウェアの脆弱性に関する概要や対策情報を登録し、脆弱性対策情報データベースJVN iPediaとして公開しました。従来、脆弱性情報は英語で提供されることが多く、これだけ豊富な情報を網羅したオープンな日本語のデータベースは、JVN iPediaが初めてです。

　特定のソフトウェアに存在する脆弱性について知りたい場合はもちろん、さまざまな組織が公開する脆弱性情報を横断的に検索したいような場合も、充実した検索機能によって効率よく情報を探し出すことができます。また、脆弱性対策情報の配信機能、共通脆弱性評価システムCVSS v2による脆弱性の深刻度評価機能など、利用者にとって便利な機能も用意しています。

　今後も、脆弱性対策情報を日々登録していくと共に、検索機能強化、脆弱性対策情報の配信機能強化など、更なる利便性の強化も行っていきます。

１．JVN iPediaの登録状況

• （１）JVN iPediaに登録済みの脆弱性の深刻度

  　JVN iPediaでは、登録した脆弱性について、共通脆弱性評価システムCVSS v2により深刻度を公表しています。

  　図2-1は8月末までに登録した脆弱性4,047件の深刻度の割合です。レベルIII（危険、CVSS基本値=7.0〜10.0）が45%、レベルII（警告、CVSS基本値=4.0〜6.9）が43%、レベルI（注意CVSS基本値=0.0〜3.9）が12%となっています。

  　また、図2-2はＪVN iPediaの公開後に新規登録した脆弱性の深刻度別の件数です。脆弱性の深刻度が高いものが数多く登録されています。

  

• （２）JVN iPediaが登録対象としている脆弱性対策情報のベンダ数

  　JVN iPediaでは、JVNに加えNVDで公開された情報の中から、日本国内で使用されている製品を中心に脆弱性対策情報を収集・翻訳し、登録しています。

  　図3-1に示すように、現在、JVN iPediaに登録しているのは286ベンダが開発した製品の脆弱性対策情報で、国内ベンダが38%、海外ベンダが62%となっています。

  　JVN iPediaの4月25日の公開時点では、201ベンダが開発した製品の脆弱性対策情報を登録していましたが、その後、図3-2に示すように、登録対象を毎月平均約20ベンダ（国内約5ベンダ、海外約15ベンダ）の製品に拡大し、8月末時点で286ベンダとなっています。

  　今後、ＪＶＮ iPediaでは、国内ベンダの情報を更に拡大したいと考えており、国内製品で発見された脆弱性の対策情報を積極的に登録していきます。

  

２．JVN iPediaの主な機能

　JVN iPediaでは4,000件以上の脆弱性に関して、脆弱性の概要、CVSS による深刻度、影響を受けるシステム、想定される影響、対策、ベンダ情報、他組織が公開する参考情報などを公開しています。その膨大な量の脆弱性対策情報の中から、目的の情報を見つけ出すために以下のような機能を備えています。

• （１）脆弱性対策情報の検索機能

  　JVN iPediaでは、「特定の製品に存在する脆弱性を確認したい」、「JVNや他組織で公開される情報を基に脆弱性対策情報を調べたい」など、検索機能によって効率的に探せます。

  　図4に示すJVN iPediaの検索画面から、検索キーワードや、ベンダ名、製品名、脆弱性の発見日、最終更新日、脆弱性の深刻度レベルなどを指定することで、特定の脆弱性対策情報を収集することが可能です。

  

• （２）脆弱性対策情報の配信機能JVNDBRSS

  　脆弱性対策情報の配信機能JVNDBRSSとは、脆弱性対策情報データベースJVN iPediaの「新着/更新情報」と「年別情報」をRSS(RDF Site Summary)形式で提供する仕組みです。

  　図5に示すように、RSSリーダー等に登録することで脆弱性対策情報データベースJVN iPediaの情報を手軽に確認・入手することができます。一度に脆弱性対策情報を確認したい場合、JVNDBRSSを利用すると便利です。

  

• （３）共通脆弱性評価システムCVSSによる脆弱性の深刻度評価機能

  　JVN iPediaでは共通脆弱性評価システムCVSSによって脆弱性の深刻度を評価しています。これにより、各脆弱性の深刻度を定量的に比較することが可能です。

  　図6に示すJVN iPediaのCVSS計算機を用い、JVN iPediaが公表しているCVSS基本値に加え、CVSS現状値（攻撃コードの出現有無、対策情報の適用可否など）やCVSS環境値（各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど）を計算し、製品利用者自身が脆弱性の深刻度の総合的な評価を行うことが可能です。

  

• （４）外部参考情報へのリンク集

  　JVN iPediaでは製品ベンダのアドバイザリ情報や、各セキュリティサイトなどの参考情報のリンクが充実しています。多くの参考情報の中から適切な対策を実施することができます。

『参考』

• ■ プレスリリース全文（全4ページ、264KB）
• ■ JVNのリニューアルと脆弱性対策情報データベースの公開について
  　　http://www.ipa.go.jp/security/vuln/20070425_NewJVN_iPedia.html

『脚注』

• (*1)：Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。国内製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。http://jvn.jp/
• (*2)：National Institute of Standards and Technology。米国の科学技術分野における計測と標準に関する研究を行う機関。http://www.nist.gov/
• (*3)：National Vulnerability Database。米国国立標準技術研究所（NIST）が運営する脆弱性データベース。http://nvd.nist.gov/nvd.cfm

独立行政法人　情報処理推進機構　
セキュリティセンター　情報セキュリティ技術ラボラトリー
E-mail: