脆弱性対策情報データベースJVN iPediaの登録状況
[2010年第2四半期(4月〜6月)]
掲載日 2010年7月21日
独立行政法人 情報処理推進機構
>> ENGLISH
1. 2010年 第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況(総括)
脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集することにより、脆弱性関連情報を容易に利用可能とすることを目指しています。1) 国内のソフトウェア製品開発者が公開した脆弱性対策情報、2) 脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3) 米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報、の中から情報を収集、翻訳し、2007年4月25日から公開しています。
1.1 脆弱性対策情報の登録状況
〜 NISTの脆弱性データベースからの翻訳登録件数が7,500件を突破 〜
2010年第2四半期(2010年4月1日から6月30日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は、国内製品開発者から収集したもの10件(公開開始からの累計は98件)、JVNから収集したもの38件(累計787件)、NVDから収集したもの390件(累計7,561件)、合計438件(累計8,446件)でした。脆弱性対策情報の登録件数は、日本国内で使用されているソフトウェア製品の脆弱性対策情報をNVDから収集したものが7,500件を突破しており、累計では8,400件に達しています。(表1、図1)。
2010年第2四半期にJVN iPedia日本語版に登録した脆弱性対策情報を製品の種類で分類すると、Linux、UNIX、Windows、Mac OSなどのOSが76件、Safari、Firefox、Microsoft Office、Java、Webサーバ、データベースなどのアプリケーションが359件、組込みソフトウェアが1 件、重要インフラなどで利用される監視制御システム(SCADA:Supervisory Control And Data Acquisition)が2件となっています。
JVN iPedia英語版は、国内製品開発者から収集したもの10件(累計98件)、JVNから収集したもの20件(累計441件)、合計30件(累計539件)でした。
| 情報の収集元 | 登録件数 | 累計件数 | |
|---|---|---|---|
| 日本語版 | 国内製品開発者 | 10 件 | 98 件 |
| JVN | 38 件 | 787 件 | |
| NVD | 390 件 | 7,561 件 | |
| 計 | 438 件 | 8,446 件 | |
| 英語版 | 国内製品開発者 | 10 件 | 98 件 |
| JVN | 20 件 | 441 件 | |
| 計 | 30 件 | 539 件 |
1.2 脆弱性対策情報データベースに登録されている製品種類別の件数
〜 日本国内で使用されている製品の脆弱性対策情報を多数公開 〜
表2はJVN iPedia日本語版の脆弱性対策情報データベースについて、製品種類別の件数を示しています。OSに関するものが2,694件、アプリケーションに関するものが5,575件、組込みソフトウェアに関するものが158件、監視制御システム(SCADA:Supervisory Control And Data Acquisition)に関するものが19件、となっています。
製品種類別に登録が多い製品として、OSではRed Hat Enterprise Linux、MIRACLE LINUXといったLinux製品や、Sun Solaris、HP-UXといったUNIX製品、Microsoft Windows、Mac OSなどが登録されています。アプリケーションでは、Microsoft Office、Mozilla FirefoxといったデスクトップアプリケーションやOracle Database などのミドルウェア、PHP、Javaなどが登録されています。組込みソフトウェアについては、ルータ、スイッチといったアプライアンス製品が多く登録されています。監視制御システム(SCADA:Supervisory Control And Data Acquisition)については、GE Fanuc、AREVA T&D、Rockwell Automationといった海外ベンダーの製品が登録されています。
国内で利用されているソフトウェア製品の脆弱性対策情報が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。
IPAが提供しているMyJVN( http://jvndb.jvn.jp/apis/myjvn/ )では、ベンダー名や製品(ソフトウェア)名から、それに該当する脆弱性対策情報を容易に検索することが可能です。このツールを活用し、脆弱性対策を早期に実施することを推奨します。
| 製品の種類 | 件数 |
|---|---|
| OS(Operating System) | 2,694 件 |
| アプリケーション | 5,575 件 |
| 組込みソフトウェア | 158 件 |
| SCADA | 19 件 |
| 計 | 8,446 件 |
1.3 2009年7月〜2010年6月においてアクセス数の多かった脆弱性対策情報 上位20件
〜 古い脆弱性対策情報についても定期的な確認と対策を 〜
表3は2009年7月〜2010年6月までの1年間にアクセス数の多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示し、表4は四半期ごとのその上位20件の順位を記載しています。
アクセス数の上位20件を分析した結果、上位20件のうち14件が脆弱性対策情報の更新が行われており、特に3位のApache Tomcatや10位のApache HTTP Serverにおいては10回以上の更新が行われています。また、最終更新日が2010年1月以降のものが上位20件のうち6件となっており、4位のSSL および TLSについては2010年6月17日に更新が行われています。この結果から、更新回数が多い、または最終更新日が新しい情報についてはアクセス数が多くなる傾向があることが推測されます。
上位10件の共通脆弱性評価システムCVSS(*4)に着目すると、深刻度レベルIII(危険) の脆弱性対策情報は1件のみで、レベルI(注意)とレベルII(警告)が多くを占めています。なお、2010年第2四半期(4月〜6月)の順位上位20件のうち5件のみが、2009年7月〜2010年6月のアクセス数上位20件にランクインしており、今四半期と過去1年間では、注目されている脆弱性対策情報が異なっています。
脆弱性対策情報は、公開後も、影響を受ける製品やベンダー情報の更新を行っています。例えば、表3の3位の「Apache Tomcat」や10位の「Apache HTTP Server」のように公開日が古い脆弱性対策情報が更新されることもあります。
このように、脆弱性対策情報は公開後も更新がなされる場合があるため、ウェブサイト運営者・システム管理者は、自組織が使用しているソフトウェアの脆弱性対策情報について定期的に確認を行い、未対策や更新漏れがある場合には早急な対策が必要です。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 | 最終更新日 |
|---|---|---|---|---|---|---|
| 1 | JVNDB-2008-001495 | 複数の DNS 実装にキャッシュポイズニングの脆弱性 | 5966 | 6.4 | 2008/7/23 | 2009/2/24 |
| 2 | JVNDB-2005-000601 | OpenSSL におけるバージョン・ロールバックの脆弱性 | 3720 | 2.6 | 2007/4/1 | 2007/12/3 |
| 3 | JVNDB-2008-000009 | Apache Tomcat において不正な Cookie を送信される脆弱性 | 3695 | 4.3 | 2008/2/12 | 2010/1/5 |
| 4 | JVNDB-2009-002319 | SSL および TLS プロトコルに脆弱性 | 3172 | 6.4 | 2009/12/14 | 2010/6/17 |
| 5 | JVNDB-2008-000022 | Lhaplus におけるバッファオーバーフローの脆弱性 | 3119 | 6.8 | 2008/4/28 | 2008/4/28 |
| 6 | JVNDB-2009-000037 | Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性 | 3085 | 4.3 | 2009/6/18 | 2010/4/23 |
| 7 | JVNDB-2009-000036 | Apache Tomcat における情報漏えいの脆弱性 | 3032 | 4.3 | 2009/6/18 | 2010/4/23 |
| 8 | JVNDB-2008-000050 | ウイルスセキュリティおよびウイルスセキュリティZERO におけるサービス運用妨害 (DoS) の脆弱性 | 3009 | 4.3 | 2008/8/12 | 2008/8/12 |
| 9 | JVNDB-2008-001043 | X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性 | 2972 | 7.4 | 2008/1/31 | 2008/11/21 |
| 10 | JVNDB-2007-001017 | Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 | 2938 | 4.3 | 2007/12/20 | 2009/11/13 |
| 11 | JVNDB-2007-000819 | Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 | 2897 | 4.3 | 2007/12/13 | 2009/8/10 |
| 12 | JVNDB-2008-001647 | Jasmine の WebLink テンプレート実行時における複数の脆弱性 | 2873 | 7.5 | 2008/9/10 | 2009/3/30 |
| 13 | JVNDB-2008-000018 | Namazu におけるクロスサイトスクリプティングの脆弱性 | 2800 | 4.3 | 2008/3/21 | 2009/10/27 |
| 14 | JVNDB-2009-001911 | XML 署名の検証において認証回避が可能な問題 | 2779 | 5.0 | 2009/8/20 | 2010/2/26 |
| 15 | JVNDB-2008-000084 | PHP におけるクロスサイトスクリプティングの脆弱性 | 2719 | 2.6 | 2008/12/19 | 2009/6/23 |
| 16 | JVNDB-2009-000010 | Apache Tomcat における情報漏えいの脆弱性 | 2695 | 2.6 | 2009/2/26 | 2009/2/26 |
| 17 | JVNDB-2009-000053 | FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 | 2496 | 7.1 | 2009/8/5 | 2009/8/5 |
| 18 | JVNDB-2009-000068 | IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性 | 2478 | 5.7 | 2009/10/26 | 2010/1/25 |
| 19 | JVNDB-2008-001150 | JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 | 2439 | 3.6 | 2008/3/14 | 2008/3/14 |
| 20 | JVNDB-2008-001313 | JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 | 2423 | 5.0 | 2008/5/9 | 2008/5/9 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2007年の公開 | 2008年の公開 | 2009年の公開 |
注3)最終更新日の年による色分け
| 2008年以前の更新 | 2009年の更新 | 2010年の更新 |
| # | ID | タイトル | 2009年 第3四半期 (7月-9月) |
2009年 第4四半期 (10月-12月) |
2010年 第1四半期 (1月-3月) |
2010年 第2四半期 (4月-6月) |
|---|---|---|---|---|---|---|
| 1 | JVNDB-2008-001495 | 複数の DNS 実装にキャッシュポイズニングの脆弱性 | 1位 | 1位 | 2位 | 8位 |
| 2 | JVNDB-2005-000601 | OpenSSL におけるバージョン・ロールバックの脆弱性 | 2位 | 4位 | 10位 | 24位 |
| 3 | JVNDB-2008-000009 | Apache Tomcat において不正な Cookie を送信される脆弱性 | 3位 | 5位 | 7位 | 14位 |
| 4 | JVNDB-2009-002319 | SSL および TLS プロトコルに脆弱性 | - | 100位 圏外 |
1位 | 1位 |
| 5 | JVNDB-2008-000022 | Lhaplus におけるバッファオーバーフローの脆弱性 | 19位 | 6位 | 11位 | 22位 |
| 6 | JVNDB-2009-000037 | Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性 | 5位 | 19位 | 17位 | 23位 |
| 7 | JVNDB-2009-000036 | Apache Tomcat における情報漏えいの脆弱性 | 9位 | 25位 | 9位 | 21位 |
| 8 | JVNDB-2008-000050 | ウイルスセキュリティおよびウイルスセキュリティZERO におけるサービス運用妨害 (DoS) の脆弱性 | 6位 | 14位 | 19位 | 31位 |
| 9 | JVNDB-2008-001043 | X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性 | 22位 | 11位 | 15位 | 17位 |
| 10 | JVNDB-2007-001017 | Apache HTTP Server の 413 エラーメッセージにおける HTTP メソッドを適切に検査しない問題 | 14位 | 16位 | 12位 | 26位 |
| 11 | JVNDB-2007-000819 | Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 | 27位 | 20位 | 13位 | 13位 |
| 12 | JVNDB-2008-001647 | Jasmine の WebLink テンプレート実行時における複数の脆弱性 | 34位 | 3位 | 20位 | 47位 |
| 13 | JVNDB-2008-000018 | Namazu におけるクロスサイトスクリプティングの脆弱性 | 31位 | 7位 | 16位 | 34位 |
| 14 | JVNDB-2009-001911 | XML 署名の検証において認証回避が可能な問題 | 62位 | 8位 | 5位 | 79位 |
| 15 | JVNDB-2008-000084 | PHP におけるクロスサイトスクリプティングの脆弱性 | 18位 | 13位 | 25位 | 33位 |
| 16 | JVNDB-2009-000010 | Apache Tomcat における情報漏えいの脆弱性 | 12位 | 23位 | 21位 | 38位 |
| 17 | JVNDB-2009-000053 | FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 | 4位 | 37位 | 51位 | 100位 圏外 |
| 18 | JVNDB-2009-000068 | IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性 | - | 2位 | 18位 | 36位 |
| 19 | JVNDB-2008-001150 | JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 | 47位 | 10位 | 28位 | 48位 |
| 20 | JVNDB-2008-001313 | JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 | 38位 | 18位 | 30位 | 41位 |
2. 脆弱性対策情報の登録状況
2.1 バッファエラーなど、広く知れ渡っている対策情報が数多く公開されています
共通脆弱性タイプ一覧CWE(*5)は、脆弱性の種類を識別するための共通の脆弱性タイプの一覧です。
CWEを用いると、ソフトウェアの多種多様にわたる脆弱性に関して、脆弱性の種類(脆弱性タイプ)の識別や分析、国内外での比較などが可能になります。図2に、JVN iPediaへ今四半期に登録した脆弱性対策情報を、CWEで分類した、脆弱性の種類ごとの件数を示します。
件数が多い脆弱性は、CWE-119(バッファエラー)が70件、CWE-399(リソース管理の問題)が42件、CWE-264(認可・権限・アクセス制御の問題)が39件、CWE-79(クロスサイト・スクリプティング)が30件、CWE-94(コード・インジェクション)が25件、CWE-20(不適切な入力確認)が23件、CWE-189(数値処理の問題)が15件、などとなっています。
これらは広く知れ渡っている脆弱性の種類です。製品開発者は、これらの脆弱性に関してIPAが公開している「安全なウェブサイトの作り方(*6)」、「安全なSQLの呼び出し方(*7)」、「セキュア・プログラミング講座(*8)」などを参考に、ソフトウェア製品の企画・設計段階からセキュリティ実装を考慮する必要があります。
2.2 深刻度の高い脆弱性対策情報が数多く公開されています
図3にJVN iPediaに登録済みの脆弱性対策情報について、製品開発者やセキュリティポータルサイト等が脆弱性の対策情報を公開した日を基にした、脆弱性の深刻度の公開年別推移を示します。2004年以降、脆弱性対策情報の公開が急増しており、2009年まで増加傾向となっています。
JVN iPediaでは、共通脆弱性評価システムCVSS(*9)により、それぞれの脆弱性の深刻度(*10)を公開しています。2010年第2四半期まで(4月〜6月)では、レベルIII(危険、CVSS基本値=7.0〜10.0)が46%、レベルII(警告、CVSS基本値=4.0〜6.9)が45%、レベルI(注意、CVSS基本値=0.0〜3.9)が9%となっています。
深刻度の高い脆弱性が多数公開されていることから、製品利用者は情報を日々収集し、製品のバージョンアップやセキュリティ対策パッチの適用などを遅滞なく行うことが必要です。
2.3 アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています
図4にJVN iPediaに登録済みの脆弱性対策情報について、その製品の種類の公開年別推移を示します。Safari、Internet Explorer、Firefox、Microsoft Officeなどのデスクトップアプリケーションや、Webサーバ、アプリケーションサーバ、データベースなどのミドルウェア、また、PHP、Javaなど、アプリケーション・ソフトウェアの脆弱性対策情報の公開が年々増加しています。毎年、数多くのアプリケーションが新しく開発され、それらにおいて脆弱性が発見されており、アプリケーション・ソフトウェアのセキュリティ対策は重要度を増しています。
Windows、Mac OS、UNIX、LinuxなどのOSに関しては、2005年頃までは脆弱性の公開件数が増加傾向にありましたが、2005年以降は公開件数が減少傾向にあり毎年脆弱性は発見されるものの、後継製品で脆弱性対策が迅速に施されています。
2005年頃から、ネットワーク機器、携帯電話、DVDレコーダなどの情報家電など、組込みソフトウェアの脆弱性の対策情報が徐々に公開されています。
2008年頃からは、重要インフラなどで利用される、監視制御システム(SCADA:Supervisory Control And Data Acquisition)についても脆弱性の対策情報が公開されています。2008年分として6件、2009年分は9件、2010年分は4件の合計19件のSCADAに関する脆弱性対策情報を公開しています。
2.4 オープンソースソフトウェアの割合
図5にJVN iPediaに登録済みの脆弱性対策情報について、オープンソースソフトウェア(OSS)とOSS以外のソフトウェアの公開年別推移を示します。その割合は全体でOSSが34%、OSS以外が66%となっています。OSSの割合の年別推移を見ると、1998年から2003年までは上昇傾向でしたが、2004年に減少し、近年は大きな変化なく推移しています。
2.5 ソフトウェア製品の開発者(ベンダー)の内訳
JVN iPediaに登録済みのソフトウェア製品の開発者(ベンダー)に関して、図6にOSSのベンダーの内訳、図7にOSS以外のベンダーの内訳を示します。
OSSは、国内ベンダーが62、海外ベンダー(日本法人有り)が22、海外ベンダー(日本法人無し)が221、合計305ベンダーとなっています。OSS以外は、国内ベンダーが108、海外ベンダー(日本法人有り)が61、海外ベンダー(日本法人無し)が43 、合計212ベンダーとなっています。
OSSに関しては、日本法人の無い海外ベンダーの脆弱性対策情報が数多く登録されています。OSSを利用する場合、製品のバージョンアップやセキュリティパッチの適用などのノウハウを持たない製品利用者は、製品のサポートサービスの活用、保守契約上の取り決め等の考慮が必要です。
3. 脆弱性対策情報の活用状況
表5は2010年第2四半期(4月〜6月)にアクセスの多かったJVN iPediaの脆弱性対策情報を、アクセス数の多い順番に上位20件まで示しています。DNS実装やOpenSSL、Apache Tomcatなどは、脆弱性対策情報の公開から時間が経過しても多数のアクセスがあり、利用者が注目している情報となっています。一太郎シリーズ、サイボウズ、MODx、Cisco Router and Security Device Managerなど、近年公開した情報にも多数のアクセスがありました。
表6は国内の製品開発者から収集した脆弱性対策情報のアクセス数上位5件を示しています。
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2009-002319 | SSL および TLS プロトコルに脆弱性 | 1365 | 6.4 | 2009/12/14 |
| 2 | JVNDB-2010-000015 | 一太郎シリーズにおける任意のコードが実行される脆弱性 | 1359 | 9.3 | 2010/4/12 |
| 3 | JVNDB-2010-000016 | 複数のサイボウズ製品におけるアクセス制限に関する脆弱性 | 1092 | 5.8 | 2010/4/20 |
| 4 | JVNDB-2010-001229 | OpenSSL における複数の関数に関する脆弱性 | 1043 | 10.0 | 2010/4/9 |
| 5 | JVNDB-2010-000012 | MODx における SQL インジェクションの脆弱性 | 961 | 7.5 | 2010/4/8 |
| 6 | JVNDB-2010-000011 | Internet Explorer における情報漏えいの脆弱性 | 938 | 4.3 | 2010/4/7 |
| 7 | JVNDB-2010-000014 | Cisco Router and Security Device Manager におけるクロスサイトスクリプティングの脆弱性 | 936 | 4.3 | 2010/4/8 |
| 8 | JVNDB-2008-001495 | 複数の DNS 実装にキャッシュポイズニングの脆弱性 | 934 | 6.4 | 2008/7/23 |
| 9 | JVNDB-2010-001371 | 複数のアンチウィルス製品に脆弱性 | 741 | 10.0 | 2010/5/10 |
| 10 | JVNDB-2010-000024 | 一太郎シリーズにおける任意のコードが実行される脆弱性 | 715 | 9.3 | 2010/6/1 |
| 11 | JVNDB-2010-000010 | HL-SiteManager における SQL インジェクションの脆弱性 | 697 | 7.5 | 2010/4/2 |
| 12 | JVNDB-2010-000006 | OpenPNE におけるアクセス制限回避の脆弱性 | 695 | 5.8 | 2010/3/5 |
| 13 | JVNDB-2007-000819 | Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 | 676 | 4.3 | 2007/12/13 |
| 14 | JVNDB-2008-000009 | Apache Tomcat において不正な Cookie を送信される脆弱性 | 676 | 4.3 | 2008/2/12 |
| 15 | JVNDB-2010-001537 | Adobe Flash ActionScript AVM2 newfunction 命令に脆弱性 | 674 | 9.3 | 2010/6/17 |
| 16 | JVNDB-2009-000018 | 一太郎シリーズにおけるバッファオーバーフローの脆弱性 | 666 | 6.8 | 2009/4/7 |
| 17 | JVNDB-2008-001043 | X.Org Foundation 製 X サーバにおけるバッファオーバーフローの脆弱性 | 661 | 7.4 | 2008/1/31 |
| 18 | JVNDB-2010-001174 | Apache HTTP Server の ap_read_request 関数における重要な情報を取得される脆弱性 | 650 | 4.3 | 2010/3/23 |
| 19 | JVNDB-2010-000013 | MODx におけるクロスサイトスクリプティングの脆弱性 | 633 | 4.3 | 2010/4/8 |
| 20 | JVNDB-2010-000019 | WebSAM DeploymentManager におけるサービス運用妨害 (DoS) の脆弱性 | 610 | 7.8 | 2010/5/17 |
| # | ID | タイトル | アクセス 数 |
CVSS 基本値 |
公開日 |
|---|---|---|---|---|---|
| 1 | JVNDB-2008-001313 | JP1/Cm2/Network Node Manager におけるサービス運用妨害 (DoS) の脆弱性 | 459 | 5.0 | 2008/5/9 |
| 2 | JVNDB-2008-001647 | Jasmine の WebLink テンプレート実行時における複数の脆弱性 | 426 | 7.5 | 2008/9/10 |
| 3 | JVNDB-2008-001150 | JP1/秘文の暗号化/復号機能および持ち出し制御機能における正しく動作が行われない問題 | 424 | 3.6 | 2008/3/14 |
| 4 | JVNDB-2008-001895 | JP1/VERITAS NetBackup の JAVA Administration GUI における特権昇格の脆弱性 | 410 | 6.5 | 2008/11/26 |
| 5 | JVNDB-2010-001204 | Accela BizSearch のローカル収集におけるアクセス権限に関する脆弱性 | 329 | 5.0 | 2010/4/2 |
注1)CVSS基本値の深刻度による色分け
| CVSS基本値=0.0〜3.9 深刻度=レベルI(注意) |
CVSS基本値=4.0〜6.9 深刻度=レベルII(警告) |
CVSS基本値=7.0〜10.0 深刻度=レベルIII(危険) |
注2)公開日の年による色分け
| 2008年以前の公開 | 2009年の公開 | 2010年の公開 |
脚注
(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/
(*2)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/
(*3)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm
(*4)共通脆弱性評価システムCVSS概説。CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)。
http://www.ipa.go.jp/security/vuln/CVSS.html
(*5)Common Weakness Enumeration。概要は次を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html
(*6)http://www.ipa.go.jp/security/vuln/websecurity.html
(*7)http://www.ipa.go.jp/security/vuln/websecurity.html
(*8)http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html
(*9)共通脆弱性評価システムCVSS概説。CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)。
http://www.ipa.go.jp/security/vuln/CVSS.html
(*10)脆弱性の深刻度評価の新バージョンCVSS v2への移行について。
http://www.ipa.go.jp/security/vuln/SeverityLevel2.html
資料のダウンロード
参考情報
本件に関するお問い合わせ先
IPA セキュリティセンター 渡辺/大森
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 