Japan Vulnerability Notes
日本の脆弱性対策情報ポータルサイト
From Wikipedia, the free encyclopedia
Japan Vulnerability Notes(JVN)は、日本国内で使用されているソフトウェア製品およびWebアプリケーションの脆弱性関連情報とその対策情報を提供するポータルサイトである[1]。独立行政法人情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同運営する。JVNの目的は、発見された脆弱性情報を適切な範囲かつ適時に開示することにより、製品開発者による対策を促進し、同時にシステム管理者やエンドユーザーに対して迅速な注意喚起を行うことで、サイバー攻撃による被害を未然に防止することにある[2]。
概要
脆弱性が発見されても、それを安全に開発者に伝え、修正プログラムが公開されるまで情報を管理し、修正と同時にユーザーへ周知する統一的なルールが存在しなく、手法を公開することで攻撃手法が拡散してしまうリスクや開発者が情報を隠蔽するリスクが存在していた。2004年、経済産業省により「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(平成29年経済産業省告示第19号により改正)が告示され、JVNが設計された[3]。同時に、「情報セキュリティ早期警戒パートナーシップガイドライン」が制定された[3]。2004年7月、JVNは運用が開始され[1]、以下の二つの主要機関によって厳密な役割分担の下で行われている[1]。
- 独立行政法人情報処理推進機構 (IPA) - 発見者からの脆弱性届出の窓口(受付機関)として機能する。届出内容の受理、一次的な精査、および脆弱性対策の普及啓発を行う。また、届出制度全体の法的・制度的な整備や、Webアプリケーション脆弱性の修正依頼を担う[2]。
- JPCERTコーディネーションセンター (JPCERT/CC) - IPAから引き渡された届出情報を基に、製品開発者との技術的な調整(調整機関)を行う。具体的には、脆弱性の検証依頼、対策の検討支援、公表スケジュールの調整を行う。また、米国のCERT/CCや海外のCSIRTと連携し、国際的な情報の流通ハブとしても機能する[2]。
IPAは、2026年4月以降にJVN iPediaおよびMyJVNのシステムを大規模に刷新することを発表している[4]。最新の深刻度評価基準であるCVSS v4への対応や、JSON形式でのデータフィードの提供、SBOMとの連携を強化を計画している[4]。
脆弱性情報の取扱い
JVNにおける情報流通プロセスは、対象となる脆弱性の種類によって「ソフトウェア製品」と「Webアプリケーション」の2つに大別される[3]。
- ソフトウェア製品の取扱い - OS、ブラウザ、メールソフト、サーバーソフトウェア、組込み機器のファームウェアなどが対象となる。発見者からの届出をIPAが受理し、JPCERT/CCが開発者と連絡を取り、検証・対策の作成・公表日の調整を行う。
- Webアプリケーションの取扱い - 特定のWebサイト上で稼働するWebアプリケーションが対象となる。IPAが直接サイト運営者に連絡を行い、修正を依頼する。原則として、個別の脆弱性がJVNで詳細に公表されることはない(統計データとしては処理される)。
調整不能案件の処理
開発者と連絡が取れない、あるいは開発者が修正を拒否する場合の調整不能案件への対応として、公表判定委員会が存在する[3]。JPCERT/CCが開発者に連絡を試みても応答がない場合、JVNサイト上の連絡不能開発者一覧に製品名を掲載し、開発者からの接触を呼びかける。それでも連絡不能の状態が続く場合、IPAは公表判定委員会を招集し、委員会が公表妥当と判断した場合、経済産業大臣への手続を経て、JVN上で開発者名や脆弱性の詳細が公表される。これは、開発者の利益とユーザーの安全を天秤にかけた際の、ユーザー保護優先の原則に基づく措置である[3]。
評価指標
JVNおよびそのデータベースであるJVN iPediaは、情報の相互運用性と機械可読性を高めるため、国際的なセキュリティ標準仕様を採用している[5]。
- 脆弱性識別子(CVE) - 米国MITRE社が管理する脆弱性の辞書であり、世界共通のID(CVE-ID)を付与することで、情報の重複や混同を防いでいる。JVNはMITRE社から認定された「CVE Information Source Site」である。
- 脆弱性タイプ(CWE) - 脆弱性の種類を分類し、体系化するためにCWE(Common Weakness Enumeration)が使用されている。JVN iPediaでは、CWE-IDを用いてSQLインジェクションやクロスサイトスクリプティングなどの脆弱性タイプ別に検索が可能である。
- 深刻度評価(CVSS) - 脆弱性の深刻度を定量的かつ客観的に評価するためにCVSS(Common Vulnerability Scoring System)が採用されている。JVNでは、CVSS v2およびv3のスコアを併記して提供している。
- プラットフォーム識別(CPE) - ハードウェア、OS、アプリケーションなどのIT資産を識別するための共通名称としてCPE(Common Platform Enumeration)が使用されている。
国際連携
JVNで公表される情報は、国内からの届出(識別子:JVN#)に加え、米国のCERT/CCやその他海外のCSIRT、製品ベンダーから提供された情報も「国際取扱脆弱性情報」として扱われ、「JVNVU#」という識別子で公開される[2]。
JVN iPedia
JVN iPediaは、2007年4月に開設された脆弱性対策情報データベースである[5]。JVNサイトで公表された国内の調整情報に加え、NVDなど海外の公開情報やベンダーからの直接情報も収集・翻訳して蓄積している。2007年の開設当初は約3,500件であった登録数は、2012年には15,000件を超え、その後も増加し続けている[5]。
情報の活用を促進するために「MyJVN」というフレームワークが提供されており、APIを通じてJVN iPediaのデータを外部から利用可能にしている[4]。現在、緊急性の高い注意喚起情報を取得するgetAlertListなどのAPIが提供されている。
MyJVN APIを活用した公式ツールとして、IPAは以下のソフトウェアを無償提供している[4]。
- MyJVNバージョンチェッカ(.NET版) - PCにインストールされている主要なソフトウェア製品(Java, Adobe Reader, Google Chromeなど)のバージョンをチェックし、最新版であるかを確認するツール。
- mjcheck4 - 組織が利用している製品群を登録し、関連する脆弱性情報をフィルタリングして収集するツール。ソフトウェア部品表(SBOM)のインポートに対応している。今後はAPI利用やスクレイピングに対するレートリミットが導入されるほか、mjcheck4の後継となる「mjcheck5」のリリースが予定されている[4]。
関連項目
- 脆弱性情報データベース
- 独立行政法人情報処理推進機構(IPA)
- JPCERTコーディネーションセンター(JPCERT/CC)