IPAとJPCERT/CC、JVNをリニューアルし脆弱性対策情報データベースを公開
JVNのリニューアルと脆弱性対策情報データベースの公開について
独立行政法人情報処理推進機構(東京都文京区、理事長:藤原武平太、略称:IPA)および有限責任中間法人JPCERT コーディネーションセンター(東京都千代田区、代表理事:歌代和正、略称JPCERT/CC)は、本日、日本国内の製品開発者の脆弱性対応状況を公開するサイトとして、JPCERT/CCとIPAが共同で運営するJapan Vulnerability Notes(以下、JVN)の大幅なリニューアルと、脆弱性対策情報データベース(JVN iPedia)の公開を発表しました。(URL: http://jvn.jp/ )
JVNは、経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」に基づく脆弱性関連情報の取扱いの枠組みである「情報セキュリティ早期警戒パートナーシップ」において取り扱われた脆弱性関連情報並びにJPCERT/CC,米国CERT/CC(※1)及び英国CPNI(※2)による国際的な脆弱性関連情報ハンドリングのパートナーシップにおいて調整された脆弱性関連情報を中心に、日本国内において使用されているソフトウェア等の製品に発見された脆弱性の概要、想定される影響やその回避策、ならびにパッチの公開を含む対策状況など、ソフトウェア等の脆弱性に関する包括的な情報を提供しています。
【名称の変更】
運用開始後、今年で4年目を迎えたJVNは、名称をJP Vendor Status Notes(JVN)から、JapanVulnerability Notes(JVN)と変更しました。
【見やすさの向上およびコンテンツの充実】
JVNのユーザや情報の提供元である製品開発企業等からいただいたご意見に基づき、以下のような、見やすさの向上とコンテンツの充実を図ります。
1.現在、日、米、英それぞれの調整を行った機関ごとに掲載されている情報をJVN 掲載順に統合して一覧性を持たせ、見やすさの向上を図ります。
2.ユーザにおいて緊急に対応を検討していただく必要があると判断した脆弱性については、調整機関をとおして公開されたか否かに関わらず「緊急」である旨を明示して掲載し、より迅速な脆弱性対策を支援します。
3.製品開発者から提供される対策情報や更新情報のみならず、IPAやJPCERT/CCが独自に検討した回避策に関する情報や想定される影響など、脆弱性対応を行うユーザにとって有益な情報についても積極的に掲載を行い、脆弱性対策を支援します。
【JVN iPediaの公開】
「情報セキュリティ早期警戒パートナーシップ」において取り扱われた脆弱性、および国内で利用されているソフトウェア等の製品に関する脆弱性を対象として、その概要や対策情報を収集・蓄積する「脆弱性対策情報データベース(JVN iPedia)」を公開しました。JVN iPediaは、1998年に発見された脆弱性から収集を行い、2007年4月公表時点で約3500件の脆弱性対策情報を蓄積しています。目的の脆弱性対策情報を容易に探すために検索機能(キーワード、製品別、ID、日付、CVSS(※3)による深刻度)を備え、日々の情報収集を支援します。
(※1)CERT/CC:CERT/Coordination Center
(※2) CPNI:Centre for the Protection of National Infrastructure(旧NISCC)
(※3)CVSS:Common Vulnerability Scoring System(共通脆弱性評価システム)
(参考情報)
※ 関連資料参照