Japan Vulnerability Notes

JVN (Japan Vulnerability Notes) について

Japan Vulnerability Notes（通称JVN）は、日本国内におけるソフトウェア製品及びWebアプリケーションに関する脆弱性情報を収集し、対策情報を提供するためのポータルサイトです。このサービスは独立行政法人情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）が共同で運営しています。JVNの主な目的は、発見された脆弱性に関する情報を適時かつ適切に発信し、製品開発者に対策を促すと同時に、システム管理者やエンドユーザーに向けた迅速な警告を行うことで、サイバー攻撃による損害を未然に防ぐことです。

JVNの背景

脆弱性が見つかった場合、適切な方法で開発者に知らせ、修正プログラムが公開されるまでの情報管理が必要ですが、そうした統一的なルールが存在しない状況が続いていました。このため、発見された攻撃手法が広がるリスクや開発者が情報を隠蔽する危険性が高まっていました。これを受け、2004年には経済産業省から「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」が公布され、JVNの設計がなされました。また、同年に「情報セキュリティ早期警戒パートナーシップガイドライン」も作成され、JVNは2004年7月に運用を開始しました。

JVNの運営

JVNは、主に次の二つの機関の役割分担により運営されています。

• - IPA: 脆弱性の報告を受け付け、初歩的な精査と対策の普及啓発を行う役割を担っています。これに加えて、法律や制度の整備、Webアプリケーションの脆弱性修正依頼も行います。
• - JPCERT/CC: IPAからの情報を基に、製品開発者との調整を行う役割を持っています。具体的には、脆弱性の検証依頼や対策検討の支援、情報の公表スケジュールを調整します。また、国際的な情報流通のハブとしても機能しています。

2026年には、JVN iPediaやMyJVNのシステムが大規模に近代化される予定で、最新の深刻度評価基準CVSS v4への対応や、JSONデータフィードの提供、SBOMとの連携が強化される見込みです。

脆弱性情報の取り扱い

JVNでは、脆弱性情報は「ソフトウェア製品」と「Webアプリケーション」に大別されます。ソフトウェアの脆弱性の場合、IPAが報告を受理し、JPCERT/CCが開発者との連絡を行い、対策の検証や公表日の調整を行います。一方、Webアプリケーションの場合、直接サイト運営者に連絡し、修正を依頼します。この場合、個別の脆弱性が詳細には公表されません。

もし開発者と連絡が取れず、修正が拒否された場合は、JPCERT/CCが連絡不能開発者リストに製品名を掲載し、開発者の対応を促します。それでも応答がない場合は、公表判定委員会が招集され、ユーザーの安全を優先するため、情報が公表されることになります。

評価基準と国際的な連携

JVNでは、情報の相互運用性を高めるため、国際的なセキュリティ基準を採用しています。脆弱性識別子であるCVEや、脆弱性の種類を分類するCWE、深刻度評価のためのCVSSなどを用いています。また、JVNは国内の情報だけでなく、海外のCSIRTやCERT/CCと連携して国際的な脆弱性情報も公開しています。

JVN iPediaの構築

JVN iPediaは2007年に開設された脆弱性対策情報データベースであり、日本国内の報告情報に加え、海外の情報も収集・翻訳して蓄積しています。APIを通じてデータ利用も可能であり、バージョンチェックツールや組織向けの脆弱性情報収集ツールも提供されています。

このようにして、JVNおよびその関連サービスは、日本における情報セキュリティの向上を図る重要な役割を果たしています。

もう一度検索