HOME情報セキュリティ情報セキュリティ対策脆弱性対策脆弱性対策情報収集ツール「MyJVN」を公開

本文を印刷する

情報セキュリティ

脆弱性対策情報収集ツール「MyJVN」を公開

中小規模組織のセキュリティ対策のため、脆弱性対策情報の収集を効率化

最終更新日 2009年1月15日
掲載日 2008年10月23日
>> ENGLISH

 独立行政法人情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、「JVN iPedia」 (ジェイブイエヌ アイ・ペディア)の情報を、利用者が更に効率的に活用できるように、フィルタリング条件設定機能、自動再検索機能などを有した脆弱性対策情報収集ツール「MyJVN」(マイ・ジェイブイエヌ)を2008年10月23日(木)より公開しました。
  (URL: http://jvndb.jvn.jp/apis/myjvn/
 また、国際協力の強化に向けCPE(共通プラットフォーム一覧:Common Platform Enumeration)の試行を開始し、概説資料をIPAのウェブサイトで公開しました。

 JVN iPedia(*1)は、日本国内向けの脆弱性対策情報データベースを目指し、国内で利用されているソフトウェア等の脆弱性の概要や対策情報を収集・蓄積しています。JVN iPediaは、現在5,400件を超える脆弱性対策情報を登録しています。

 このたび、JVN iPediaに登録されたこれら多数の情報の中から、利用者が、利用者自身に関係する情報のみを効率的に収集できるように、フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などを有した脆弱性対策情報収集ツール「MyJVN」(マイ・ジェイブイエヌ)を開発しました。

 また、MyJVNでは、国際協力の強化に向け、米国政府の支援を受けた非営利団体のMITRE(*2)が中心となって仕様策定を進めているソフトウェアの製品名を記述するための共通の基準であるCPE(共通プラットフォーム一覧:Common Platform Enumeration)の試行を開始しました。

 CPEに関しては次のURLの「共通プラットフォーム一覧CPE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CPE.html

 すでに、JVN iPedia、MyJVNでは、CVE(*3)、CVSS(*4)、CWE(*5)を適用しています。今回のCPE適用に引き続き、今後も共通基準の導入を進めることにより、利用者側の客観的・効率的な脆弱性対策を目指した利活用基盤を整備していきます。

1.利用者に関係する脆弱性対策情報のみを提示

(1) フィルタリング条件設定機能

 MyJVNは、JVN iPediaに登録されている脆弱性対策情報のうち、利用者に関係する情報のみを表示することができます。利用者が使用しているソフトウェアのベンダ名(図1)と製品名(図2)を選択すると、関連する脆弱性対策情報のみを表示します(図3)。

 さらに、脆弱性対策情報一覧の中から一つをクリックすると詳細な脆弱性対策情報を見ることができます(図4)。「脆弱性対策情報 詳細情報」画面では、影響を受けるシステムや影響を受けた時の深刻度、対策情報などが表示されます。

図1.ベンダ名選択画面

図1.ベンダ名選択画面

 

図2.製品名選択画面

図2.製品名選択画面

 

図3.フィルタリングした脆弱性対策情報一覧画面

図3.フィルタリングした脆弱性対策情報一覧画面

 

図4.脆弱性対策情報 詳細情報

図4.脆弱性対策情報 詳細情報

(2) 自動再検索機能

 一度フィルタリング条件を設定しておけば、2回目以降はアクセスするだけで同じ条件で検索を行いますので、(1)のベンダ名選択(図1)や製品名選択(図2)を再度設定する必要がありません。利用者はMyJVNの画面を開くだけで、常に自分に関係する最新の脆弱性対策情報を確認することができます。

(3) 脆弱性対策チェックリスト機能

 脆弱性対策が具体的にどこまでできているか確認するためには、脆弱性対策チェックリスト機能を使います。脆弱性対策チェックリスト機能には、脆弱性対策情報の発行日、脆弱性IDとそのタイトル、脆弱性の概要、深刻度、影響を受けるシステムなどが表示されますので、脆弱性の対応状況を把握する際には、プリントアウトすることで脆弱性対策のチェックリストとして利用することができます(図5)。

図5.チェックリスト画面

図5.チェックリスト画面

2.CPEの試行運用を開始

 CPE(共通プラットフォーム一覧:Common Platform Enumeration)は、情報システムを構成する、ハードウェア、ソフトウェアなどを識別するための共通の名称基準です。米国政府の支援を受けた非営利団体のMITREが中心となって仕様策定を進めており、2007年1月30日に原案であるCPEバージョン1.0が公開されました。

 その後、米国政府の脆弱性対策データベースであるNIST(*6)のNVD(*7)、連邦政府のデスクトップ基準であるFDCC(*8)(Federal Desktop Core Configuration)での適用を通して、仕様改善が行われ、2008年1月31日にCPEバージョン2.1が公開されました。

 MyJVNには、NVDが公開しているCPE Dictionaryを参考に、JVN iPediaで公開するそれぞれの脆弱性対策情報をCPE名で関連付ける機能があります。

 今後、NISTが提供するCPE Dictionaryとの連携や、製品識別子としてのCPE名を利用することで、脆弱性対策情報の提供および流通基盤の整備を図るなど、検討を行っていきます。

 CPEに関しては次のURLの「共通プラットフォーム一覧CPE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CPE.html

脚注

(*1)IPAが公開している脆弱性対策情報データベース。
http://jvndb.jvn.jp/

(*2)MITRE Corporation。米国政府向けの技術支援や研究開発を行う非営利組織。
http://www.mitre.org/

(*3)CVE:Common Vulnerabilities and Exposures。
http://cve.mitre.org/index.html

(*4)CVSS:Common Vulnerability Scoring System。
「共通脆弱性評価システムCVSS v2概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

(*5)CWE:Common Weakness Enumeration。
「共通脆弱性タイプ一覧CWE概説」を参照下さい。
http://www.ipa.go.jp/security/vuln/CWE.html

(*6)NIST:National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*7)NVD:National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/

(*8)FDCC:Federal Desktop Core Configuration。米国政府が各省庁に向けて、デスクトップ環境の最低限のセキュリティ設定を実施するように定めた基準。
http://nvd.nist.gov/fdcc/index.cfm

開発実施者

  • 株式会社 日立製作所

参考情報

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティ センター(IPA/ISEC) 小林/杉山
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2009年1月15日 参考情報を追加
2008年10月23日 掲載