HOME情報セキュリティ脆弱性対策情報脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第4四半期(10月~12月)]

本文を印刷する

情報セキュリティ

脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第4四半期(10月~12月)]

独立行政法人情報処理推進機構
最終更新日:2018年01月24日

  • 以下は、「脆弱性対策情報データベース JVN iPediaに関する活動報告レポート」1章の抜粋です。2章以降は 活動報告レポート(PDF) をご参照ください。

1. 2017年第4四半期 脆弱性対策情報データベース JVN iPediaの登録状況

 脆弱性対策情報データベース「JVN iPedia( http://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しているものです。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(*1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(*2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況

~脆弱性対策情報の登録件数の累計は78,410件~

 2017年第4四半期(2017年10月1日から12月31日まで)にJVN iPedia日本語版へ登録した脆弱性対策情報は下表の通りとなり、脆弱性対策情報の登録件数の累計は、78,410件でした(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で1,836件になりました。

表1-1.2017年第4四半期の登録件数
  情報の収集元 登録件数 累計件数
日本語版 国内製品開発者 10 196
JVN 213 7,864
NVD 3,496 70,350
3,719 78,410
英語版 国内製品開発者 8 194
JVN 31 1,642
39 1,836

図1-1. JVN iPediaの登録件数の四半期別推移

1-2. 【注目情報1】JVN iPediaに登録された年間の脆弱性対策情報の推移

~JVN iPediaへ登録された脆弱性対策情報の年間の登録件数は、 2017年の13,792件が過去最多、2016年と比べて2倍以上~

 IPAでは2007年4月から脆弱性対策情報データベース「JVN iPedia」を運用しています。図1-2は2013年から2017年までの直近5年間にJVN iPediaへ登録した脆弱性対策情報の推移です。

 2013年には1年間で5,272件だった登録件数が、3年後の2016年には6,524件と増加しています。さらに翌年の2017年には13,792件の登録件数となっており、2016年と比較すると2倍以上の登録件数で過去最多となっています。また、2017年の登録件数の内訳を見ると、NVDから収集した件数が12,804件と全体の約92%を占めており、NVDから公開される脆弱性情報が大幅に増加しています。

 これは、発見される脆弱性の増加に加え、CVEの採番機関(CNA:CVE Numbering Authority)(*4) になるための認定基準が緩和され、CVE採番機関の数が増加したことが一因として挙げられます。(*5)。2016年12月に47社(*6)だったCVE採番機関が、2017年11月には81社(*7)と約1.7倍となっています。これにより、多くの脆弱性情報にCVEが紐づけられ、NVDの公開件数増加につながった可能性があります。

 組織においてソフトウェアの利用が広まっていく一方で、脆弱性を悪用した攻撃による被害が後を絶ちません。ソフトウェア製品の利用者およびシステム管理者は、被害に遭わないために脆弱性に対して適切な対応が求められます。JVN iPediaでは日々公表されている脆弱性情報をデータベースとして蓄積し続けており、目的の製品に関する脆弱性対策情報を容易に利用できるよう、様々な検索機能を用意しています。JVN iPediaを活用し、脆弱性対策に役立ててください。

1-3. 【注目情報2】2020年に終了する主要な製品の公式サポート終了について

~2017年1年間の「危険」とされる脆弱性対策情報は60件以上、 サポート終了までにベンダがサポートするバージョンや代替製品への移行などの検討を~

 IPAでは2018年1月22日に「安心相談窓口だより(*8)」でも、2020年初頭にマイクロソフト社が提供しているWindows7とWindows Server 2008 の延長サポート終了について触れています。

 図1-3は2017年1月から12月までにJVN iPediaへ登録されたWindows7とWindows Server 2008の深刻度別脆弱性対策情報の割合です。Windows7では231件中26%の60件、Windows Server 2008では242件中26%の63件が、深刻度が最も高い「危険」になっています。そのため、今後も深刻度が「危険」と分類される脆弱性対策情報が複数公開される可能性があります。

 仮に製品のサポートが終了した後に、新たな脆弱性が発見され、さらに発見された脆弱性を悪用した攻撃が確認されたとしても、修正プログラムがベンダから提供されず、利用者は対策を行うことができない可能性があります。そのため、サポートが終了した製品を継続利用した場合、常にセキュリティリスクを抱えた状態となります。システム管理者は自組織で利用している製品のサポートが終了していないか、あるいは終了の予定がないかを確認してください。また、終了が既に公表されている場合は、製品ベンダがサポートするバージョンや代替製品への移行などを速やかに検討してください。

なお、2020年にはWindows7とWindows Server 2008の他にも、マイクロソフト社のOffice 2010(*9)やアドビシステムズ社が提供しているAdobe Flash Player(*10) もサポートが終了する予定です。これらの製品についても移行の計画等を検討する必要があります。

脚注

(*1) Japan Vulnerability Notes:脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
https://jvn.jp/別ウィンドウで開く

(*2) National Institute of Standards and Technology:米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
https://www.nist.gov/別ウィンドウで開く

(*3) National Vulnerability Database:NISTが運営する脆弱性データベース。
https://nvd.nist.gov別ウィンドウで開く

(*4) CVE採番機関(CNA)。製品に影響を与える脆弱性にCVEを割り当てる権限を与えられた組織。
https://cve.mitre.org/cve/cna.html別ウィンドウで開く

(*5) CVE Numbering Authorities (CNA) Rules, Version 2.0:CVE採番機関(CNA)ルール。
https://cve.mitre.org/cve/cna/CNA_Rules_v2.0.pdf別ウィンドウで開く

(*6) CVE Adds 7 New CVE Numbering Authorities (CNAs):7つの新しいCVE採番機関(CNA)を追加 (2016年12月23日時点)。
https://cve.mitre.org/news/archives/2016/news.html別ウィンドウで開く

(*7) SAP Added as CVE Numbering Authority (CNA):SAPをCVE採番機関(CNA)として追加 (2017年11月09日時点)。
https://cve.mitre.org/news/archives/2017/news.html別ウィンドウで開く

(*8) 「安心相談窓口だより」2020年1月にWindows 7、Windows Server 2008の延長サポートが終了 ~ システム環境や業務内容に合わせた移行計画を ~:
https://www.ipa.go.jp/security/anshin/mgdayori20180122.html

(*9) Windows 7 & Office 2010 2020 年 サポート終了:
https://www.microsoft.com/ja-jp/business/windows/endofsupport.aspx別ウィンドウで開く

(*10) Flash & The Future of Interactive Content – Adobe:
https://theblog.adobe.com/adobe-flash-update/別ウィンドウで開く

資料のダウンロード

参考情報

アンケートのお願い

まもるくんからのお願い  よろしければ今後のサービス向上を図るため、「脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第4四半期(10月~12月)]」に関するアンケートにご協力ください。

アンケート画面へ

本件に関するお問い合わせ先

IPA セキュリティセンター 渡邉/竹村
E-mail: