HOME >> 情報セキュリティ >> 脆弱性対策 >> 脆弱性対策情報データベースのソフトウェアインタフェースを公開

脆弱性対策情報データベースのソフトウェアインタフェースを公開

さまざまなソフトウェアが脆弱性対策情報を取得できる「MyJVN API」

最終更新日 2010年6月2日
掲載日 2010年2月25日
>> ENGLISH

 IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、さまざまなソフトウェアが脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の情報を取得できるインタフェースとして「MyJVN API」(マイ・ジェイブイエヌ エーピーアイ)を2010年2月25日(木)から公開しました。
 URL:http://jvndb.jvn.jp/apis/index.html

 「有名企業や公共機関などのウェブサイトが改ざんされ、そのサイトを閲覧した利用者がウイルスに感染した可能性がある」という報道が2009年末から相次いでいます。一般的に「ガンブラー」と呼ばれているこの一連の攻撃の被害を受けないためには、利用しているソフトウェア製品の脆弱性対策情報を入手し、いち早く脆弱性を解消することが重要です。

 IPAでは、国内で利用されるソフトウェア等の製品(OS、アプリケーション、ライブラリ、組込み製品など)の脆弱性対策情報を中心に収集・蓄積する脆弱性対策情報データベース「JVN iPedia」を無償で公開しています(*1)。従来、JVN iPediaに格納された情報の検索や表示などの機能はIPAが提供していましたが、ソフトウェア開発者から「独自に開発している脆弱性対策の管理ツールや検査ツールでJVN iPediaの情報を活用したいので、JVN iPediaの情報をプログラムから利用できる機能や情報の形式を定めたAPI(Application Programming Interface)(*2)を提供して欲しい。」との要望がありました。

 これを受け、IPAではこの度、JVN iPediaから脆弱性対策情報を取得できるソフトウェアインタフェースとして「MyJVN API」を開発し、利用の手引きや動作確認支援ツールと共に公開しました。JVN iPediaでは、ソフトウェア開発者がオープンなインタフェースで情報を扱えるようにするため、脆弱性対策情報の表現形式の標準化を目指したSCAP(*3)を適用しています。例えば、脆弱性の識別にはSCAPのCVE(*4)を使用しており、2010年1月にはCVEを運用している米国MITRE社(*5)からCVE互換認定を取得しています(*6)

 本インタフェースを用いることで、独自に開発されたソフトウェアでもJVN iPediaの脆弱性対策情報を利用することが可能になり、さまざまな脆弱性対策支援ソフトウェアで脆弱性対策情報を効率的に活用できます。JVN iPediaは、2010年1月のアクセス件数が月間400万件を突破するなど活用が進んでいますが、本インタフェースの公開によってJVN iPediaの脆弱性対策情報が更に活用され、脆弱性対策が促進されることを期待します。

 「MyJVN API」の利用の手引き、動作確認支援ツールについては次のURLから参照下さい。
http://jvndb.jvn.jp/apis/index.html

MyJVN APIで利用可能な機能:

表1. MyJVN APIで利用可能な機能一覧

機能名称

メソッド名

概要

1

ベンダ一覧の取得

getVendorList

フィルタリング条件に当てはまるベンダ名のリストを取得する

2

製品一覧の取得

getProductList

フィルタリング条件に当てはまる製品名のリストを取得する

3

脆弱性対策概要情報一覧の取得

getVulnOverviewList

フィルタリング条件に当てはまる脆弱性対策の概要情報リストを取得する

4

脆弱性対策詳細情報の取得

getVulnDetailInfo

フィルタリング条件に当てはまる脆弱性対策の詳細情報を取得する

動作確認支援ツール:

 MyJVN API 動作確認支援ツール「getVendorList」のパラメタ入力画面を図1に示します。本ツールを用いると、「MyJVN API」を利用したソフトウェアを開発する際に、事前に具体的なAPIの出力値を確認することができます。

図1.API出力値確認用ツール「getVendorList」のパラメタ入力画面

「MyJVN API」の活用事例:

 IPAでは、JPCERT/CCと協力して、MyJVN APIを利用したVRDA(Vulnerability Response Decision Assistance)フィード(*7)の配信を開始しました(2010年6月2日)。 VRDAは、脆弱性対応のための意志決定支援システムであるKENGINE(ケンジン)(*8)向けのデータ提供方式です。図2に示すMyJVN APIを利用したVRDAフィードの配信により、KENGINEでJVN iPediaの脆弱性対策情報を取り扱うことができるようになる予定です。

 また、IPAから公開しているMyJVN 脆弱性対策情報収集ツール(*9)やMyJVNバージョンチェッカ(*10)、MyJVNセキュリティ設定チェッカ(*11)なども、このインタフェースを用いて開発しています。

図2. MyJVN APIを利用したJVN iPediaとVRDAの連携

脚注

(*1)Vulnerability Countermeasure Information Database。国内で利用されているソフトウェアを対象にした脆弱性対策情報を網羅・蓄積し、公開しています。
http://jvndb.jvn.jp/

(*2)プログラム間の通信を行う際の情報の受け渡し方などを決めたものです。

(*3)Security Content Automation Protocol。「セキュリティ設定共通化手順SCAP概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/SCAP.html

(*4)Common Vulnerabilities and Exposures。「共通脆弱性識別子CVE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CVE.html

(*5)MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
http://www.mitre.org/

(*6)JVN、JVN iPedia、MyJVNにおいて、該当するCVE識別番号が適切に関連付けられていることなどがMITREより認定されました(CVE互換認定)。
http://www.cve.mitre.org/news/index.html#jan082010a

(*7)Vulnerability Response Decision Assistance。「VRDA フィード 脆弱性脅威分析用情報の定型データ配信」を参照下さい。
http://www.jpcert.or.jp/vrdafeed/

(*8)http://www.jpcert.or.jp/research/2008/20071212KENGINE.pdf

(*9)JVN iPediaの情報を、利用者が更に効率的に活用できるように、フィルタリング条件設定機能、自動再検索機能などを有した脆弱性対策情報収集ツールです。
http://jvndb.jvn.jp/apis/myjvn/

(*10)PCにインストールされているソフトウェア製品が最新のバージョンであるかを確認することができるツールです。
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

(*11)PCで使われているWindowsのセキュリティ設定項目を簡単な操作で確認することができるツールです。
http://jvndb.jvn.jp/apis/myjvn/#CCCHECK

プレスリリースのダウンロード

開発実施者

  • 株式会社 日立製作所

参考情報

 内閣官房をはじめとして、関係省庁及び政府関係機関では2010年2月を「情報セキュリティ月間」として、情報セキュリティに関する普及啓発活動を官民連携の下に行っています。IPAはこの活動に協力しています。
http://www.ipa.go.jp/security/event/2009/security-month.html

本件に関するお問い合わせ先

IPA セキュリティセンター 小林/杉山
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2010年6月2日
MyJVN APIを利用したVRDAフィードの配信を開始しました。
2010年2月25日
掲載。