HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベース「JVN iPedia」を機能強化

本文を印刷する

情報セキュリティ

脆弱性対策情報データベース「JVN iPedia」を機能強化

利用者からの要望に応え類義語検索機能などを追加

最終更新日 2009年6月18日
掲載日 2009年6月18日
>> ENGLISH

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)に、類義語検索機能、脆弱性の詳細説明の表示機能、言語別のコンテンツ表示機能など、機能追加を行い、2009年6月18日(木)から公開しました。

 JVN iPedia( http://jvndb.jvn.jp/ )は日本国内向けの脆弱性対策情報データベースとして、国内で利用されているソフトウェアの脆弱性の概要や対策情報などを収集し、2007年4月25日から公開しています。

 現在、国内製品開発者から収集したもの74件、JVN(*1)から収集したもの659件、NVD(*2)から収集したもの5,657件、合計6,390件の脆弱性対策情報を登録しています。その月間アクセス件数は約40万件に達しています。

 このたびJVN iPediaは、利用者から要望のあった類義語検索、脆弱性の理解を深めるための脆弱性詳細説明表示、関連するJVN情報の検索を容易にするJVN情報検索、国際協力を強化するための言語別コンテンツ表示など、機能追加を行い、2009年6月18日(木)から公開しました。

 類義語検索機能では、セキュリティ用語や製品名の略称など約170件の類義語を利用した検索を可能にしました。図1に示すように検索画面で類義語検索を指定すると、例えば、検索キーワードとして「インジェクション」と入力した場合、「インジェクション」に加えて、「injection」や「注入」「挿入」などの検索結果も合わせて出力されるようになり、目的の脆弱性対策情報の検索が容易になりました。

図1.JVN iPediaの追加機能(類義語検索機能)

その他の追加機能
1.脆弱性の詳細説明の表示機能

 JVN iPediaでは、脆弱性の種類を識別するため、共通脆弱性タイプ一覧CWE(*3)を適用しており、脆弱性対策情報の参考情報欄にCWEの脆弱性タイプを掲載しています。これにより、利用者は脆弱性のタイプを識別することや、脆弱性対策情報の検索をCWEの分類で行うことができます。

 今回、JVN iPediaが使用している19件の脆弱性タイプについて、CWEが提供しているCWEリストを日本語に翻訳し、脆弱性の簡易な解説、発生時期、一般的な影響、脆弱なコード例、発見された事例などの情報を表示する機能を提供しました(図2)。

 ソフトウェア製品利用者は、この情報を参照することにより、対象の脆弱性がどのようなもので、どの程度の深刻度があるのかなどを理解し、脆弱性対策を行う際の参考とすることができます。

 また、ソフトウェア製品開発者は、脆弱性の発生時期や事例、その脆弱性を作り込まないための対策方法などを理解し、同様の脆弱性発生の防止策を検討することができるようになります。

図2.脆弱性の詳細説明の表示機能

2.関連するJVN情報の検索機能

 JVN iPediaの検索機能は、検索結果一覧に脆弱性対策情報のID「JVNDB-yyyy-nnnnnn」、タイトル、共通脆弱性評価システムCVSS(*4)を適用した深刻度、発見日、最終更新日を表示しています。

 また、検索結果の画面では、表示順を並び替えることができます。最初はIDの降順で表示されますが、検索結果の項目名(ID、タイトル、深刻度、発見日、最終更新日)部分をクリックすることで、降順、昇順にソートが可能です。

 今回、JVN iPediaの脆弱性対策情報のIDに加えて、JVNの脆弱性対策情報がある場合は、JVNの情報のID「JVN#」、「JVNVU#」、「JVNTA」なども表示するようにしました(図3)。

 これにより、JVN iPediaの検索結果から、関連するJVNの情報も、容易に参照することができるようになりました。

図3.関連するJVN情報の検索機能

3.言語別のコンテンツ表示機能

 JVN iPediaは、日本語版に加えて英語版を公開しており、国内の脆弱性対策情報を海外へも発信しています。また、共通脆弱性識別子CVE(*5)を適用し、国内外の脆弱性対策情報同士の相互参照や関連付けを判り易くしています。英語版の月間アクセス件数は約8万件に達しています。

 今回、国内外の利用者の利便性を考慮し、ウェブブラウザの言語設定に応じて日本語版のページと英語版のページを選択表示する、言語別のコンテンツ表示機能を追加しました。

 例えば、従来、脆弱性対策情報ID「JVNDB-2009-000001」の日本語版のページを参照する際には、
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000001.html
英語版のページを参照する際には、
http://jvndb.jvn.jp/en/contents/2009/JVNDB-2009-000001.html
のように、表示言語に応じて、別々のURLを参照する必要がありました。

 今回の機能追加で、図4に示すように、
http://jvndb.jvn.jp/jvndb/JVNDB-2009-000001
を参照すると、利用者のウェブブラウザの言語設定に応じて、日本語版、または英語版を自動的に選択、表示するようにしました。

 これにより、一つのURLで、利用者の利用言語に合わせた情報が容易に入手できるようになります。

 また、日本語版ページと英語版ページの右上に、双方のページへのリンクを追加し、双方の情報を入手しやすくしました。

図4.言語別のコンテンツ表示機能

4.RSSオートディスカバリ機能への対応

 JVN iPediaでは、脆弱性対策情報を手軽に確認・入手できるようRSS(RDF Site Summary)形式での情報配信機能としてJVNDBRSS(*6)を提供しています。

 今回、JVNDBRSSでRSSオートディスカバリ機能(*7)に対応しました。図5に示すように、Internet ExplorerやFirefoxなどのRSSオートディスカバリ機能に対応したブラウザで、JVN iPedia のトップページにアクセスすると、RSSファイルが自動的に検出されるようになり、JVNDBRSSの閲覧が容易になりました。

図5.RSSオートディスカバリ機能への対応

5.JVNDBRSS によるCPE情報の提供機能

 IPAでは、脆弱性対策情報収集ツールMyJVN(*8)で、共通プラットフォーム一覧CPE(*9)の適用を試行しています。MyJVNでは、JVN iPediaに登録されている脆弱性対策情報をCPE名で関連付けることにより、利用者に関係する情報のみを表示するだけではなく、ベンダ名、製品名でのグループ化した表示を実現しています。

 今回、JVN iPediaでもCPE情報の配信ができるように、JVNDBRSSにCPE情報の掲載機能を追加しました(図6)。

 これにより、脆弱性対策が必要となるプラットフォームを、CPE情報で識別できるようになります。また、CPE情報を情報システムの資産管理へ適用するなど、情報システム全体の管理に役立てることができるようになります。

図6.JVNDBRSS によるCPE情報の提供機能

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Vulnerability Database。NIST(National Institute of Standards and Technology、米国国立標準技術研究所)が運営する脆弱性データベース。
http://nvd.nist.gov/

(*3)CWE:Common Weakness Enumeration。「共通脆弱性タイプ一覧CWE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*4)CVSS:Common Vulnerability Scoring System。「共通脆弱性評価システムCVSS v2概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

(*5)CVE:Common Vulnerabilities and Exposures。「共通脆弱性識別子CVE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html

(*6)JVNDBRSS:「JVN iPediaとは?」を参照ください。
http://jvndb.jvn.jp/nav/jvndb.html#jvndb9

(*7)RSSオートディスカバリ機能:HTMLにRSSファイルのパスを記述することにより、RSSファイルの存在を自動的に検出させる仕組み。

(*8)MyJVN:JVN iPediaに登録された多数の脆弱性対策情報の中から、利用者が利用者自身に関係する情報のみを効率的に収集するための脆弱性対策情報収集ツール。
http://jvndb.jvn.jp/apis/myjvn/

(*9)CPE:Common Platform Enumeration。「共通プラットフォーム一覧CPE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CPE.html

プレスリリースのダウンロード

開発実施者

参考情報

本件に関するお問い合わせ先

IPA セキュリティ センター 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2009年6月18日 掲載