官民ボード セキュリティポータル >> 脆弱性の対策には

脆弱性対策

 情報システムやウェブサイト、また一般利用者などが使用しているソフトウェア製品に脆弱性が発見されると、製品開発者は脆弱性の対策としてソフトウェア製品のバージョンアップやパッチと呼ばれる修正プログラムを作成し公開しますので、ソフトウェア製品利用者は、公開された新たなソフトウェアや修正プログラムを適用する必要があります。

 このようなソフトウェア製品に関する脆弱性の対策情報は、製品開発者の製品情報ページや、以下の JVN や JVN iPedia にて公開される事がありますので、ソフトウェア製品利用者は定期的に脆弱性の対策情報を確認し、対策を施す必要があります。

目次 Contents

[どのような対策を行いたいですか?] 実施したい脆弱性(セキュリティ)対策から、フローにより必要となる手段を導きます
[脆弱性対策情報について] 脆弱性の対策情報を掲載しているJVNファミリーについて解説します
[セキュリティ対策にお困りであれば] 専門家によるセキュリティ対策について説明します

どのような対策を行いたいですか?

対策フロー

実施したい脆弱性(セキュリティ)対策を目的別にフロー化しました。質問に答えると必要となる手段に辿りつきます。

JVN JVN iPedia MyJVN IPA JPCERT/CC JNSA 官民ボードサポートベンダー 情報セキュリティ監査企業台帳 JNSAソリューションガイド 情報セキュリティ監査企業台帳

脆弱性対策情報について

脆弱性を対策する際に必要とする対策情報を掲載しているJVNファミリーについて紹介します。

[JVN について] JVN(Japan Vulnerability Notes)について解説します
[JVN iPedia について] JVN iPedia(脆弱性対策情報データベース)について解説します
[MyJVN について] MyJVN 脆弱性対策情報収集ツールについて解説します

JVN について

JVN(Japan Vulnerability Notes)とは

IPA(*1)とJPCERT/CC(*2)が共同運営する脆弱性対策情報ポータルサイトです。

脆弱性対策情報ポータルサイトとは?

脆弱性対策情報ポータルサイトは、ソフトウエア製品の脆弱性情報とその対策情報をインターネットを介して広く提供し、製品利用者に「気付き」を与える事で情報セキュリティ対策に資する事を目的としたウェブサイトです。

JVN 脆弱性対策一覧ページ JVN 脆弱性対策情報ページ

JVNに掲載される脆弱性情報とは?

利用者が特定できないソフトウェア製品で、早期警戒パートナーシップの受付機関であるIPAが受理した脆弱性情報であれば、全てJVN 掲載対象です。受理された脆弱性情報は、調整機関である JPCERT/CC によって、対策が提供出来る製品開発者に通知されます。

他の脆弱性情報サイトと何が違う?

以下の様な特徴があります。

  • 研究者や開発者だけでなく、一般の方からの脆弱性情報も取り扱っており、身近なソフトウエア製品からサーバ用ソフトウエア製品まで、国内外の製品の脆弱性情報を幅広く取り扱っています。
  • 掲載されている対策情報は、全てその製品を開発・提供している製品開発者によって提供された確かな情報ばかりです。
  • 海外の公的な CERT(Computer Emergency Response Team)機関とも連携しており、国際的な活動による脆弱性情報も掲載しています。
  • 国際的な共通脆弱性識別子である CVE(Common Vulnerabilities and Exposures) 互換認定を受けた CVE 情報源サイトのひとつで、掲載情報は一意の脆弱性情報識別に利用することができます。また、調整機関である JPCERT/CC は、CVE 番号の採番機関としても認定を受けています。

CVE

JVN はどこにあるの?

JVN(Japan Vulnerability Notes)
http://jvn.jp/

JVN iPedia について

JVN iPedia(脆弱性対策情報データベース)とは

国内向けソフトウェアの脆弱性に関する概要や対策の情報を約 23,000 件以上(2012年 7月時点)蓄積した、脆弱性対策情報データベースです。

JVN iPedia は、「特定の製品に存在する脆弱性を確認したい」、「JVN・他組織で公開される情報をもとに脆弱性対策を調べたい」など、入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能で、また RSS(※)配信機能を利用することで、定期的に脆弱性情報を取得することができます。

さらに「MyJVN 脆弱性対策情報収集ツール」を利用することで、脆弱性の対策情報の収集が効率的になります。

(※)RSS:ウェブサイトから最新情報を効率よく収集/配信するための統一的な形式。

JVN iPedia トップ画面 JVN iPedia 検索画面

JVN iPedia はどこにあるの?

JVN iPedia(脆弱性対策情報データベース)
http://jvndb.jvn.jp/

MyJVN について

MyJVN 脆弱性対策情報収集ツールとは

MyJVN 脆弱性対策情報収集ツールは、JVN iPediaに登録されている脆弱性対策情報の中から、自社のシステムで利用しているソフトウェア製品の情報のみを効率的に収集するツールです。

フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などにより、必要な脆弱性対策情報だけを効率よく入手できます。

素早く適切な脆弱性対策を行うことにより、情報システムを常に安全な状態に維持することが可能になります。

MyJVN 脆弱性対策情報収集ツール画面 フィルタリング条件設定画面

MyJVN はどこにあるの?

MyJVN 脆弱性対策情報収集ツール
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html

セキュリティ対策にお困りであれば

ウェブサイトをどのように安全にすれば良いか良く分からない、安全になっているか確認がしたい等のような場合は、専門家によるセキュリティ対策として、セキュリティベンダーに相談されると良いでしょう。

官民ボード サポートベンダー紹介

官民ボードに参加している構成員を紹介するサイトです。

構成員は次のとおり。サーバ・コンピュータ製造事業者、OSソフト製造事業者、ウイルス対策ソフト開発事業者、コンピュータ・セキュリティ監査事業者、コンピュータ・セキュリティ関連団体、通信事業者関連団体、研究所等

官民ボード サポートベンダー紹介
http://www.ipa.go.jp/security/kokokara/index.html#Boardmember

経済産業省 情報セキュリティ監査企業台帳

「情報セキュリティ監査企業台帳」には、監査法人、情報セキュリティベンダー、システムベンダー、情報セキュリティ専門企業、システム監査企業などが登録されています。

地域毎に分けられたページやダウンロードファイル(Excelファイルなど)で企業リストを参照できます。提供しているサービス(テーマ:セキュリティ関連業務)や前年度の実績(テーマ:前年度の情報セキュリティ監査の実績)などを参考に、必要とするセキュリティの専門家を探すことができます。

情報セキュリティ監査企業台帳 TOP 情報セキュリティ監査企業台帳 関東

情報セキュリティ監査企業台帳
http://www.meti.go.jp/policy/netsecurity/is-kansa/

JNSA ソリューションガイド

JNSA ソリューションガイドは、JNSA(*3) の会員企業が取扱う、ネットワーク・セキュリティ等に関する製品やサービス、イベント、セミナーを検索し、紹介するサイトです。

JNSA ソリューションガイド
http://www.jnsa.org/JNSASolutionGuide/IndexAction.do

脚注

(*1) IPA:独立行政法人 情報処理推進機構
http://www.ipa.go.jp/

(*2) JPCERT/CC:一般社団法人 JPCERT コーディネーションセンター
http://www.jpcert.or.jp/

(*3) JNSA:特定非営利活動法人 日本ネットワークセキュリティ協会
http://www.jnsa.org/