情報システムやウェブサイト、また一般利用者などが使用しているソフトウェア製品に脆弱性が発見されると、製品開発者は脆弱性の対策としてソフトウェア製品のバージョンアップやパッチと呼ばれる修正プログラムを作成し公開しますので、ソフトウェア製品利用者は、公開された新たなソフトウェアや修正プログラムを適用する必要があります。 このようなソフトウェア製品に関する脆弱性の対策情報は、製品開発者の製品情報ページや、以下の JVN や JVN iPedia にて公開される事がありますので、ソフトウェア製品利用者は定期的に脆弱性の対策情報を確認し、対策を施す必要があります。 |
[どのような対策を行いたいですか?] | 実施したい脆弱性(セキュリティ)対策から、フローにより必要となる手段を導きます |
---|---|
[脆弱性対策情報について] | 脆弱性の対策情報を掲載しているJVNファミリーについて解説します |
[セキュリティ対策にお困りであれば] | 専門家によるセキュリティ対策について説明します |
脆弱性を対策する際に必要とする対策情報を掲載しているJVNファミリーについて紹介します。
[JVN について] | JVN(Japan Vulnerability Notes)について解説します |
---|---|
[JVN iPedia について] | JVN iPedia(脆弱性対策情報データベース)について解説します |
[MyJVN について] | MyJVN 脆弱性対策情報収集ツールについて解説します |
IPA(*1)とJPCERT/CC(*2)が共同運営する脆弱性対策情報ポータルサイトです。
脆弱性対策情報ポータルサイトは、ソフトウエア製品の脆弱性情報とその対策情報をインターネットを介して広く提供し、製品利用者に「気付き」を与える事で情報セキュリティ対策に資する事を目的としたウェブサイトです。
JVN 脆弱性対策一覧ページ | JVN 脆弱性対策情報ページ |
利用者が特定できないソフトウェア製品で、早期警戒パートナーシップの受付機関であるIPAが受理した脆弱性情報であれば、全てJVN 掲載対象です。受理された脆弱性情報は、調整機関である JPCERT/CC によって、対策が提供出来る製品開発者に通知されます。
以下の様な特徴があります。
CVE |
JVN(Japan Vulnerability Notes)
http://jvn.jp/
国内向けソフトウェアの脆弱性に関する概要や対策の情報を約 23,000 件以上(2012年 7月時点)蓄積した、脆弱性対策情報データベースです。
JVN iPedia は、「特定の製品に存在する脆弱性を確認したい」、「JVN・他組織で公開される情報をもとに脆弱性対策を調べたい」など、入手したい情報が特定されている場合に、検索機能によって効果的に探すことが可能で、また RSS(※)配信機能を利用することで、定期的に脆弱性情報を取得することができます。
さらに「MyJVN 脆弱性対策情報収集ツール」を利用することで、脆弱性の対策情報の収集が効率的になります。
(※)RSS:ウェブサイトから最新情報を効率よく収集/配信するための統一的な形式。
JVN iPedia トップ画面 | JVN iPedia 検索画面 |
JVN iPedia(脆弱性対策情報データベース)
http://jvndb.jvn.jp/
MyJVN 脆弱性対策情報収集ツールは、JVN iPediaに登録されている脆弱性対策情報の中から、自社のシステムで利用しているソフトウェア製品の情報のみを効率的に収集するツールです。
フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などにより、必要な脆弱性対策情報だけを効率よく入手できます。
素早く適切な脆弱性対策を行うことにより、情報システムを常に安全な状態に維持することが可能になります。
MyJVN 脆弱性対策情報収集ツール画面 | フィルタリング条件設定画面 |
MyJVN 脆弱性対策情報収集ツール
http://jvndb.jvn.jp/apis/myjvn/mjcheck.html
ウェブサイトをどのように安全にすれば良いか良く分からない、安全になっているか確認がしたい等のような場合は、専門家によるセキュリティ対策として、セキュリティベンダーに相談されると良いでしょう。
官民ボードに参加している構成員を紹介するサイトです。
構成員は次のとおり。サーバ・コンピュータ製造事業者、OSソフト製造事業者、ウイルス対策ソフト開発事業者、コンピュータ・セキュリティ監査事業者、コンピュータ・セキュリティ関連団体、通信事業者関連団体、研究所等
官民ボード サポートベンダー紹介
http://www.ipa.go.jp/security/kokokara/index.html#Boardmember
「情報セキュリティ監査企業台帳」には、監査法人、情報セキュリティベンダー、システムベンダー、情報セキュリティ専門企業、システム監査企業などが登録されています。
地域毎に分けられたページやダウンロードファイル(Excelファイルなど)で企業リストを参照できます。提供しているサービス(テーマ:セキュリティ関連業務)や前年度の実績(テーマ:前年度の情報セキュリティ監査の実績)などを参考に、必要とするセキュリティの専門家を探すことができます。
情報セキュリティ監査企業台帳 TOP | 情報セキュリティ監査企業台帳 関東 |
情報セキュリティ監査企業台帳
http://www.meti.go.jp/policy/netsecurity/is-kansa/
JNSA ソリューションガイドは、JNSA(*3) の会員企業が取扱う、ネットワーク・セキュリティ等に関する製品やサービス、イベント、セミナーを検索し、紹介するサイトです。
JNSA ソリューションガイド
http://www.jnsa.org/JNSASolutionGuide/IndexAction.do
(*1) IPA:独立行政法人 情報処理推進機構
http://www.ipa.go.jp/
(*2) JPCERT/CC:一般社団法人 JPCERT コーディネーションセンター
http://www.jpcert.or.jp/
(*3) JNSA:特定非営利活動法人 日本ネットワークセキュリティ協会
http://www.jnsa.org/