HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベース「JVN iPedia」をバージョンアップしました

本文を印刷する

情報セキュリティ

脆弱性対策情報データベース「JVN iPedia」をバージョンアップしました

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、提供する脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)を、画像情報を掲載可能にするなど、利用者から寄せられた要望を中心にバージョンアップしました。

 JVN iPedia( http://jvndb.jvn.jp/)は、日本国内向けの脆弱性対策情報データベースを目指し、国内で利用されているソフトウェア等の製品に関する脆弱性の概要や対策情報などを収集し、2007年4月25日から公開を開始しました。

 今回のバージョンアップでは、脆弱性の問題点をより理解しやすくするため、図1に示すように、脆弱性の概要欄に画像情報の掲載を可能にしました(例:JVNDB-2007-000808 Lhaplus におけるバッファオーバーフローの脆弱性)。
今後、IPAの「脆弱性関連情報の調査結果」に掲載していた画像情報もJVN iPediaに集約し、情報の一元化を図ります。

 その他、JVN iPediaの公開以来、利用者から寄せられた要望を中心に、主に次のような表示方法の改善や機能の追加等をおこないました。詳細は別紙をご覧ください。

  • (1)トップページのCVSSによる深刻度を色分けし、深刻度が一目で分かるようにしました。
  • (2)トップページの新着情報と更新情報の違いを一目で分かるようにしました。
  • (3)検索機能を強化し、より柔軟な検索を可能にしました。
  • (4)JVNDBRSS(*1)の配信情報の種類を増やし、多様な情報収集を可能にしました。

JVN iPediaは、2007年4月公開以来、日々脆弱性対策情報の登録をおこない、登録件数は、11月26日現在4,293件となりました。また、業務日一日当り2千件を上回るアクセスを記録しています。
今後も、ソフトウェア等の製品に関する脆弱性対策の一助となれば幸いです。

図1.画像の掲載機能

1.JVN iPediaの主な追加、改善機能

  • (1)トップページのCVSS による深刻度を色分けし、深刻度が一目で分かるようにしました

     JVN iPediaでは、脆弱性の深刻度評価に、FIRST(*2)が推進している、共通脆弱性評価システムCVSSを採用しています。今回のJVN iPediaのバージョンアップで、トップページで表示している脆弱性情報の深刻度に色分けすることで、利用者が深刻度を一目で分かるようにしました。

  • (2)トップページで新着情報と更新情報の違いを一目で分かるようにしました

     JVN iPediaでは、日々、脆弱性対策情報の登録を行っています。JVN iPediaでは新規に脆弱性対策情報を登録するだけではなく、既存の脆弱性対策情報に追加情報が発見された場合、その追加登録も行っています。今回のJVN iPediaのバージョンアップによって、トップページで新着情報と更新情報の違いが一目で分かるようにしました。

  • (3)トップページに過去に登録された脆弱性情報へのリンクを付加しました

     JVN iPediaでは、日々、脆弱性対策情報の登録を行っています。そのため、トップページに表示している情報が随時最新の情報に変更されます。今回のJVN iPediaのバージョンアップによって、トップページから過去に新着情報として登録された情報のリンクを付加することで、過去の情報も探し易くしました。

    図2.JVN iPedia トップページ

  • (4)JVN iPediaの検索機能を強化し、より柔軟な検索を可能にしました

     JVN iPediaでは、「特定の製品に存在する脆弱性を確認したい」、「JVNや他組織で公開される情報を基に脆弱性対策情報を調べたい」など、検索機能によって探せます。今回のJVN iPediaのバージョンアップで、詳細検索機能を強化し、図3に示すように、ベンダ名のみでの検索を可能にしました。これによって、より柔軟な検索が可能になりました。また、検索結果のソート機能も降順、昇順の選択が各項目で自由に行えるようにしました。

    図3.ベンダ名のみの検索

  • (5)JVNDBRSSの配信の種類を増やし、情報収集方法を多様化しました

     脆弱性対策情報の配信機能JVNDBRSSとは、JVN iPediaの脆弱性情報をRSS(RDF Site Summary)形式で提供する仕組みです。今回のJVN iPediaのバージョンアップで、図4に示すように、JVNDBRSSの配信の種類を従来の「新着/更新情報」、「年別情報」に加え、「新着情報」という新規に登録された脆弱性情報のみに特化したJVNDBRSSを用意しました。これによって、より情報収集方法が多様化し、様々なニーズに応じた情報収集が可能になりました。

    図4.JVNDBRSSの配信

2.JVN iPediaの登録状況

  • (1)JVN iPediaの脆弱性対策情報の登録状況

     JVN iPediaでは、JVNに加えNVD(*3)で公開された情報の中から、日本国内で使用されている製品を中心に脆弱性対策情報を収集・翻訳し、登録しています。図5に示すように、2007年11月26日現在の登録件数は4,293件となりました。今後も、セキュリティ対策に有用な情報の提供に努めてまいります。

    図5.JVN iPediaの登録件数の推移

  • (2)共通脆弱性評価システムCVSSによる脆弱性の深刻度評価機能

     JVN iPediaでは脆弱性そのものの特性を評価したCVSS基本値を公表しています。JVN iPediaのCVSS計算ツール(図6)を用い、製品利用者自身が脆弱性への対応を決めるためのCVSS現状値(攻撃コードの出現有無、対策情報の適用可否など)やCVSS環境値(各組織での対象製品の利用範囲、攻撃を受けた場合の被害の大きさなど)を計算することが可能です。

    図6.JVN iPediaのCVSS計算ツール

『脚注』
  • (*1):JVNDBRSSは、JVN iPediaで提供する新着/更新情報と年別情報をRSS(RDF Site Summary)形式で提供する仕組みです。
       http://jvndb.jvn.jp/nav/jvndb.html#jvndb9
  • (*2):FIRST(Forum of Incident Response and Security Teams。コンピュータセキュリティインシデント対応チームフォーラム)は、CSIRT(Computer Security Incident Response Team)の国際的な連合体です。
       http://www.first.org/
  • (*3):NVD(National Vulnerability Database)は、米国国立標準技術研究所(NIST:National Institute of Standards and Technology)が運営する脆弱性データベースです。
       http://nvd.nist.gov/nvd.cfm

ニュースリリース全文 

■本内容に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518

E-mail: 電話番号:03-5978-7501までお問い合わせください。

■報道関係からの問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木
TEL:03-5978-7503 FAX:03-5978-7510

E-mail: 電話番号:03-5978-7501までお問い合わせください。

更新履歴

2007年11月26日 掲載