製品開発者の発信する脆弱性対策情報の自動収集について
−「JVNRSSを用いた脆弱性対策情報の発信ガイド」を公開−
最終更新日 2009年10月15日
独立行政法人 情報処理推進機構
セキュリティセンター
国内のソフトウェア製品開発者が公開した脆弱性対策情報を網羅・蓄積し、利用者へ提供するために、図1に示すように、JVNRSS(Japan Vulnerability Notes RSS)形式で発信された情報の自動収集の試行を開始します。
JVNRSS形式は、IT利用者やシステム技術者が情報を効率的に収集できるように、JVN(*1)が採用しているRSS形式です。このJVNRSS形式を製品開発者も活用できるように、JVNRSSの概要やJVNRSSによる情報発信のポイントを、「JVNRSSを用いた脆弱性対策情報の発信ガイド」としてまとめました。
自動収集を希望する製品開発者は、この発信ガイドを参考に、製品開発者のウェブサイトで、脆弱性対策情報をJVNRSS形式で発信し、併せて、IPAへ脆弱性対策情報の自動収集の試行への参加手続きをして下さい。
IPAでは、製品開発者からJVNRSS形式で発信された脆弱性対策情報を、継続的に自動収集、およびJVN iPedia(*2)に登録し、IT利用者やシステム技術者などへ、網羅的な脆弱性対策情報として提供します。また、このJVNRSS形式を普及させ、利用者が効率的に脆弱性対策を行えるための利活用基盤を整備していきます。
(1)脆弱性対策情報の自動収集の試行への参加手続き
製品開発者からの申込みを、電子メールにて受付けます。記載事項は以下のとおりです。- 申込み先メールアドレス:
- メールの件名:脆弱性対策情報の自動収集の申込み
- 記載事項:
- ソフトウェア製品開発者のウェブサイトのURL
- 脆弱性対策情報をJVNRSS形式で発信するフィードのURL
- 上記2.のJVNRSS形式ファイルを掲載しているウェブページのURL
- ソフトウェア製品の問合せ先が記載されているウェブページのURL
- 申込者の氏名、所属、連絡先電子メールアドレス
(2)ソフトウェア製品開発者のメリット
製品開発者は、この仕組みを利用すると、製品利用者へJVN iPediaを活用して広く脆弱性対策を促すことができます。また、IPAがこの脆弱性対策情報を英語に翻訳し、英語版JVN iPediaへ登録しますので、海外の製品利用者へも脆弱性対策を促すことができます。
JVN iPediaのアクセス数は3月に月間40万件となっており、国内で最大の脆弱性対策情報データベースとして広く活用されています。製品開発者の脆弱性対策情報の公表手段として活用されることを期待します。
(3)試行への参加にあたり留意して頂きたい事
IPAが行うJVN iPediaへの登録は、既にJVN iPediaに登録されている製品開発者の製品の情報を優先的に登録します。その他の製品に関しては、脆弱性の深刻度や対象製品の普及度を考慮して登録していきます。
登録までの目安は2週間〜4週間を予定しています。ただし、情報の信頼性確保、製品開発者の対策状況、優先度、収集した脆弱性の件数等との兼ね合いにより、対応期間が目安よりも長くなる場合がありますので、ご了承ください。
脆弱性対策情報をJVNRSS形式で発信している組織(順不同)
- 日本電気株式会社
http://www.nec.co.jp/security-info/ - 株式会社日立製作所
http://www.hitachi.co.jp/hirt/ - 富士通株式会社
http://software.fujitsu.com/jp/security/rss/ - 一般社団法人JPCERTコーディネーションセンター
http://jvn.jp/rss/ - 独立行政法人情報処理推進機構
http://jvndb.jvn.jp/#jvndbrss
資料のダウンロード
目次
1.脆弱性対策情報ポータルサイトJVNにおける取り組み
| 1.1 | JVNの歩み |
|---|---|
| 1.2 | JVN、JVN iPedia、MyJVN連携 |
| 1.3 | 製品開発者の発信する脆弱性対策情報の自動収集 |
2.JVNRSSの概要
| 2.1 | JVNRSSの概要 |
|---|---|
| 2.2 | JVNRSSの構成 |
3.JVNRSSによる情報発信のポイント
| 3.1 | 脆弱性対策情報の公表例 |
|---|---|
| 3.2 | JVNRSSによる脆弱性対策情報の公表例 |
| 3.3 | FAQ:よくある質問と答え |
謝辞
本発信ガイド作成にあたり、「製品開発者によるJVNRSS情報発信検討WG」に参画頂いた各位に感謝いたします。
製品開発者によるJVNRSS情報発信検討WG (2007年、順不同敬称略)
- 富士通株式会社:草間正
- 株式会社日立製作所:田山晴康
- 日本電気株式会社:道城謙治
- 一般社団法人JPCERTコーディネーションセンター:古田洋久、戸田洋三
- 株式会社三菱総合研究所:川口修司、井上信吾
事務局
- 独立行政法人情報処理推進機構:小林偉昭、山岸正、相馬基邦、寺田真敏
脚注
(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)脆弱性対策情報データベース。国内の製品開発者から公開された対策情報、および海外の脆弱性対策情報データベースに登録された情報に基づき、国内で利用されている製品を対象にした脆弱性対策情報を網羅、蓄積しています。
http://jvndb.jvn.jp/
脆弱性対策情報データベースJVN iPediaの四半期毎の登録状況は次のURLを参照下さい。
http://www.ipa.go.jp/security/vuln/report/press.html#JVNiPedia
参考情報
-
JVNRSS - Japan Vulnerability Notes RDF Site Summary
http://jvndb.jvn.jp/schema/jvnrss.html
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:
更新履歴
| 2009年10月15日 | 第2版を掲載。資料のFAQにRSS Autodiscoveryの解説を追記(P18)。 |
|---|---|
| 2009年7月24日 | 脆弱性対策情報をJVNRSS形式で発信している組織を追記。 |
| 2009年4月28日 | 掲載。 |