脆弱性情報データベースとは？ わかりやすく解説

ウィキペディア

脆弱性情報データベース

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/08/07 07:59 UTC 版)

脆弱性情報データベース（ぜいじゃくせいじょうほうデータベース）とは、脆弱性に関する情報をデータベース化し、広く一般に公開するためのプラットフォームである。

概要

脆弱性（情報）データベースは、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つである。このようなデータベースの構築によって、フルディスクロージャとしての利点「設計者や開発者が過去の失敗から学ぶことが可能」といった点を補助するものとなり得る。

このようなデータベースが作成されるまでは、脆弱性情報を統一的に扱う仕組みは存在しておらず、せいぜい脆弱性を取り扱うツール（SATAN（Security Administrator's Tool for Analyzing Network）やSAINT（Security Administrator's Integrated Network Tool）といったセキュリティスキャナなど）が個別に独自のデータベースを保持しているに留まっていた。脆弱性情報データベースの登場には「セキュリティ脆弱性のデータベースについての研究ワークショップ」が絡んでいる。第1回は1996年に開催されているが、それから3年後の1999年、1月22日 - 1月24日にパデュー大学の情報保証教育研究センター（Center for Education and Research in Information Assurance、通称CERIAS）で第2回が開催された時点においても、このような脆弱性情報データベースは存在していなかった。しかし、この第2回の開催において、アメリカ政府の支援を受けた非営利団体MITRE社によって脆弱性情報データベースの具体的な構築に向けての提案が行なわれ、その場で具体的な検討が行なわれたことをきっかけに、CVEが作成されることとなった。その後も、様々な形や言語で多種の脆弱性情報データベースが登場しており、それらの情報は相互参照可能なものとなっている。

脆弱性（情報）データベース

Common Vulnerabilities and Exposures (CVE)

MITRE社が1999年に前述の「セキュリティ脆弱性のデータベースについての研究ワークショップ」で提案し、実現化させた脆弱性情報データベースである^[1][2]。他の脆弱性情報データベースと異なり、内容がベンダ依存でない（業界標準名が用いられている）ことが利点として挙げられる。なお、MITRE社はCVEをデータベースではなく辞書だとしている^[3]。その真意は、CVEの目的は「識別可能性の確保＝個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名＝個々の脆弱性に（業界標準的な）名前を付けること」であり、詳細情報は外部サイトや他の脆弱性データベースに任せるというものである。

CVEへの報告はCVE Editorial Boardによって行なわれるが、報告は「過去にCVE Editorial Boardへの報告を行なったことがあるもの」であるか、「過去にCVE Editorial Boardへの報告を行なったことがあるものによる仲介」を必要とする。報告が行なわれると、その情報にはCAN番号（CAN-西暦年-4桁以上の通番）という番号が割り当てられる。その後、報告された脆弱性情報のCVE Editorial Boardによる評価が終わった後、CVE番号（CVE-西暦年-4桁以上の通番）となる。評価の結果、複数のCAN番号が同一の脆弱性を示しているなら同じCVE番号が割り当てられることとなり、逆に、1つのCAN番号に複数の脆弱性が盛り込まれている場合は複数のCVE番号が割り当てられることとなる。

なお、2013年までのCVE番号は、「CVE-西暦年-4桁通番」の形式で振られていたが、報告される脆弱性が増加し、年間で1万件を超えて4桁では足りなくなることが確実となったことから、2014年1月1日からは、通番部分が4桁以上と改定された^[4]。

「Common Vulnerabilities and Exposures」も参照

ICAT Metabase (ICAT)

アメリカ国立標準技術研究所（National Institute of Standards and Technology、通称NIST) が過去に管理していた脆弱性情報データベースである。現在は機能強化されたNVDに移行している。

National Vulnerability Database (NVD)

「NVD」はこの項目へ転送されています。その他の用法については「NVD (曖昧さ回避)」をご覧ください。

NISTが管理している脆弱性情報データベースである。米国が2002年に発表した「サイバーセキュリティ国家戦略」において、「国土安全保障局は一般市民に対して、脆弱性情報を通知する義務がある」という理由によって、ICATをベースに機能強化されたものとして作成された。

NISTはMITRE/CVEのスポンサーであり、CVEで命名された脆弱性情報の詳細情報をNVDで提供するという住み分けを行なっている。また、他の脆弱性情報データベースとの違いとして、共通脆弱性評価システム Common Vulnerability Scoring System（CVSS）による危険度の採点を行なっている点が挙げられる。NVDとCVEとの具体的な違いや役割については、次のように説明されている。つまり、CVEは、一般大衆に公開されているサイバーセキュリティの脆弱性と暴露のリストであって、無料で検索や使用、製品・サービスに組み込むことができるものである。一方、NVDは、CVEのリストにさらなる解析やデータベース、詳細な検索エンジンなどを追加したものである。NVDはCVEと同期しているので、CVEの更新があると直ちにNVDの情報も更新が行われる^[5]。

「National Vulnerability Database」も参照

Japan Vulnerability Notes (JVN)

JPCERT/CCと情報処理推進機構（IPA）が共同で管理している脆弱性情報データベースである。公式略称はJVN。CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではなく、そのような事情に鑑みて日本の脆弱性情報に焦点を置いたものとなっている。

構築の検討は2002年から行なわれており、当初は「JPCERT/CC Vendor Status Notes」の名前で作成される予定であった^[6][7]。その後の検討の結果、「Japan vendor status notes」（この略称もJVN）の名前で2004年7月より正式に運用を開始する。この頃は一般向けに脆弱性情報を公開するものではなく、サイト管理者向けのものであった。しかし2007年4月25日、現在の名前である「Japan Vulnerability Notes」に名前を変えるとともに、内容も一般向けのものとしてリニューアル公開し、現在に至っている。

JVN iPedia

前述のJVNと同じ団体によって管理されている脆弱性情報データベースである。JVNが「Japan Vulnerability Notes」と名前を変えてリニューアル公開した2007年4月25日と同日に設けられたものである。

JVNとJVN iPediaの大きな違いは、脆弱性情報の収集範囲と公開タイミングにある^[8]。JVNの提供する情報の対象範囲はJPCERT/CCの活動が中心となっているものである。つまり、JPCERT/CCに届けられた脆弱性情報に加えて、JPCERT/CCと協力関係にある他国の脆弱性情報管理団体が提供する情報、CERT/CCの提供する「Technical Cyber Security Alerts」（JPCERT/CCで言うところのCERT advisory）や「Vulnerability Notes」、CPNI（英語版）の提供する「CPNI Vulnerability Advice」が対象となっている。対して、JVN iPediaは「日々発見される脆弱性対策情報を適宜収集・蓄積」することを目的としており、対象範囲はJVNのものに加えて日本国内製品、日本に流通している製品も含まれる。JVN以外の情報は、日本国内ベンダーや上述の#NVDから得ている。このように、JVN iPediaはJVNよりもさらに日本向け情報に特化したものと言える。なお、JVN iPediaはNVDから情報を得ていることもあり、CVSSによる危険度の採点も合わせて公開している。

このような情報収集範囲の違いから、公開タイミングも変わってくることとなる。具体的には、JVNのJPCERT/CCに届けられた脆弱性情報とJVN iPediaに届けられた脆弱性情報の公開タイミングは同様に決定され、届出者や問題とされたソフトウェアのベンダーとの協議の上で公開日が決定されることになる。他国の脆弱性情報管理団体から提供される情報の公開タイミングは、提供元の公開と合わせたものとなる。

Open Source Vulnerability Database (OSVDB)

オープンソースプロジェクトとして作成された脆弱性情報データベースである。

2002年8月に行なわれた「Black Hat&DEFCONカンファレンス」において構想が発表され、構築されることとなった。一時はプロジェクトが立ち消えになりかけるものの、参加メンバー一新の後、2004年3月31日に公開された。

共通脆弱性評価システム

共通脆弱性評価システム Common Vulnerability Scoring Sytem（CVSS）は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供している。CVSS では、基本評価基準 Base Metrics、現状評価基準 Temporal Metrics、環境評価基準 Environmental Metrics の3つの基準で脆弱性を評価する^[9]。

共通脆弱性タイプ一覧

共通脆弱性タイプ一覧 Common Weakness Enumeration（CWE）では、多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子（CWE-ID）を付与して階層構造で体系化している。CWE は、ビュー View、カテゴリー Category、脆弱性 Weakness、複合要因 Compound Element の4種類に分類される^[10]。

脚注

[脚注の使い方]

1. ^ 宮川 寧夫. “「セキュリティ脆弱性のデータベースについての研究ワークショップ」参加報告”. IPA. 2009年3月4日閲覧。
2. ^ “共通脆弱性識別子CVE概説”. 情報処理推進機構 (2015年7月22日). 2023年3月21日閲覧。
3. ^ “CVE - Avout CVE”. 2000年10月26日時点のオリジナルよりアーカイブ。2009年3月7日閲覧。
4. ^ “脆弱性を識別するCVE番号の新体系による採番のお知らせ”. JPCERT/CC (2014年9月24日). 2014年10月15日閲覧。
5. ^ https://nvd.nist.gov/general/FAQ-Sections/General-FAQs#7abed157-1ec6-45c9-9ef4-b923ae7824a7
6. ^ “JPCERT/CC Vendor Status Notes”. 2004年10月11日時点のオリジナルよりアーカイブ。2009年3月7日閲覧。
7. ^ “JPCERT/CC Vendor Status Notes DB 構築に関する検討” (PDF). 2004年7月14日時点のオリジナルよりアーカイブ。2009年3月7日閲覧。
8. ^ “JVN iPedia: JVN iPediaとは？”. 2011年5月30日閲覧。
9. ^ “共通脆弱性評価システムCVSS v3概説”. 情報処理推進機構 (2022年4月5日). 2023年3月21日閲覧。
10. ^ “共通脆弱性タイプ一覧CWE概説”. 情報処理推進機構 (2018年5月31日). 2023年3月21日閲覧。

関連項目

• Security Content Automation Protocol (SCAP)
• エクスプロイト
• セキュリティホール
• ゼロデイ攻撃

外部リンク

• "Common Vulnerabilities and Exposures". 2009年3月7日閲覧。
• "National Vulnerability Database". 2009年3月7日閲覧。
• "Japan Vulnerability Notes". 2009年3月7日閲覧。
• "JVN iPedia". 2011年5月30日閲覧。
• "Open Source Vulnerability Database". 2009年3月7日閲覧。

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

• 表示
• 編集

ウィキペディア小見出し辞書

脆弱性情報データベース

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/05/02 00:27 UTC 版)

「サイバーセキュリティ」の記事における「脆弱性情報データベース」の解説

詳細は「脆弱性情報データベース」を参照 脆弱性ハンドリング等によって集められた脆弱性関連情報を公開するデータベースの事。主なものとして下記のものがある。 名称概要Common Vulnerabilities and Exposures(CVE) 脆弱性に固有の識別番号を割り振ったデータベースで、詳細情報は外部サイトや他の脆弱性データベースに任せている。アメリカ合衆国国土安全保障省(DHS)のNCSDの資金のもとMitre社のNational Cybersecurity FFRDCが運営。 National Vulnerability Database(NDV) アメリカ国立標準技術研究所(NIST)が管理する脆弱性情報データベース。CVEで命名された脆弱性情報の詳細情報をNVDで提供している。 Japan Vulnerability Notes (JVN) JPCERT/CCとIPAが共同で管理している脆弱性情報データベース。脆弱性ハンドリングの結果挙がってきた脆弱性関連情報のみならず、海外の調整機関と連携した脆弱性情報も載る。海外連携情報元としてはCERT/CCのTechnical Cyber Security AlertsやVulnerability Notes、CPNIのCPNI Vulnerability Adviceなどがある。 JVN iPedia JVNのサイト内にある、脆弱性対策情報データベース。JVNがいち早く一般に周知することを目的にしているのに対し、JVN iPediaでは脆弱性が公開されてから一週間程度を目安に、JVNに掲載されたもの以外にも国内外問わず脆弱性対策情報を広く公開している。 Open Source Vulnerability Database (OSVD) 脆弱性に関するオープンソースのデータベース。

※この「脆弱性情報データベース」の解説は、「サイバーセキュリティ」の解説の一部です。
「脆弱性情報データベース」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。

---

脆弱性情報データベース

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2020/11/30 14:37 UTC 版)

「フルディスクロージャ」の記事における「脆弱性情報データベース」の解説

今日ではMITERのCVE、NISTのNVD、JVN（日本）などの脆弱性情報データベースが整備されている。これは、「秘密主義」の時期においては考えられないことであった。脆弱性情報データベースは「脆弱性情報は一般に公開されるべき」とするフルディスクロージャ運動の具現化の一つである。脆弱性情報データベースが整備される糸口となったのは、「セキュリティ脆弱性のデータベースについての研究ワークショップ」である。第1回は1996年に開催されている。第2回は1999年1月22-24日にパデュー大学の情報保証教育研究センター（Center for Education and Research in Information Assurance、通称CERIAS）で開催された。この時点においても、脆弱性情報データベースは存在していなかったが、後のデータベース整備に向けて動き出すきっかけとなった。

※この「脆弱性情報データベース」の解説は、「フルディスクロージャ」の解説の一部です。
「脆弱性情報データベース」を含む「フルディスクロージャ」の記事については、「フルディスクロージャ」の概要を参照ください。