HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報データベース「JVN iPedia」をバージョンアップ

本文を印刷する

情報セキュリティ

脆弱性対策情報データベース「JVN iPedia」をバージョンアップ

脆弱性の種類の分類にCWE(共通脆弱性タイプ一覧)の試行を開始
  CWE(Common Weakness Enumeration)

最終更新日 2008年9月10日
掲載日 2008年9月10日
>> ENGLISH

 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)を、国際協力の強化に向けた「CWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)」の試行開始、利用者から要望のあった検索機能の改善、など、バージョンアップしました。合わせて、CWEの概説資料をIPAのウェブサイトで公開しました。

 JVN iPedia( http://jvndb.jvn.jp/ )は、日本国内向けの脆弱性対策情報データベースを目指し、国内で利用されているソフトウェアの脆弱性の概要や対策情報などを収集し、2007年4月25日から公開を開始しました。現在、国内製品開発者から収集したもの61件、JVN(*1)から収集したもの512件、NVD(*2)から収集したもの4,726件、合計5,299件の脆弱性対策情報を登録しています。

 このたび、国際協力の強化に向けたCWEの試行開始、利用者から要望のあった検索機能の改善、JVN iPediaの日本語版と英語版の連携強化など、JVN iPediaのバージョンアップを行いました。

1.脆弱性の種類の分類にCWEの試行を開始

 CWE(共通脆弱性タイプ一覧:Common Weakness Enumeration)は、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、ソフトウェアの脆弱性の種類を表現するための共通の基準です。米国政府の支援を受けた非営利団体のMITRE(*3)を中心に、40を超える企業や組織が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました(*4)

 IPAでは、JVN iPediaの情報拡充や国際協力の強化に向けて、脆弱性対策情報の参考情報欄にCWEの脆弱性タイプの掲載を開始しました。これにより、利用者は脆弱性対策情報の検索をCWEの分類でおこなえるようになります。また、ソフトウェア製品開発者はCWEリストを参照することにより、公表された脆弱性の内容を理解し、同様の脆弱性の防止策を検討することができるようになります。

 CWEに関しては次のURLの「共通脆弱性タイプ一覧CWE概説」を参照下さい。

2.検索機能の改善

 JVN iPediaに登録した脆弱性対策情報を検索するキーワードとして、英大文字・小文字、半角・全角が混在した検索を可能にしました。例えば、「LINUX」と入力しても「Linux」と入力しても、同様の検索結果が出力されるようになり、目的の脆弱性対策情報の検索が容易になりました。

3.JVN iPediaの日本語版と英語版の連携を強化

 JVN iPedia英語版( http://jvndb.jvn.jp/en/ )は、国内外の脆弱性対策情報流通の促進と国際協力の強化を目指し、2008年5月21日から公開を開始しました。現在、国内製品開発者から収集したもの60件、JVNから収集したもの311件、合計371件の脆弱性対策情報を登録しています。

 JVN iPediaの日本語ページと英語ページの対応を判り易くするため、脆弱性対策情報の参考情報欄に相互リンクの掲載を開始しました。

 JVN iPediaは、月に約10万件を超えるアクセスがあります。今後もJVN iPediaが、脆弱性対策情報のデータベースとして活用されることを期待します。

脚注

(*1)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*2)National Vulnerability Database。NIST(National Institute of Standards and Technology、米国国立標準技術研究所)が運営する脆弱性データベース。
http://nvd.nist.gov/

(*3)MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
http://www.mitre.org/

(*4)詳細は、「CWE Version 1.0 Now Available」を参照下さい。
http://cwe.mitre.org/news/index.html#20080909a

開発実施者

  • 株式会社ラック

参考情報

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティ センター(IPA/ISEC) 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2008年9月10日 掲載