Japan Vulnerability Notesとは？わかりやすく解説

Japan Vulnerability Notes（ジャパン・バルネラビリティ・ノーツ／JVN）は、日本国内で使用されているソフトウェア製品およびWebアプリケーションの脆弱性関連情報とその対策情報を提供するポータルサイトである^[1]。独立行政法人情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）が共同運営している。JVNの目的は、発見された脆弱性情報を適切な範囲かつ適時に開示することにより、製品開発者による対策を促進し、同時にシステム管理者やエンドユーザーに対して迅速な注意喚起を行うことで、サイバー攻撃による被害を未然に防止することにある^[2]。

概要

脆弱性が発見されても、それを安全に開発者に伝え、修正プログラムが公開されるまで情報を管理し、修正と同時にユーザーへ周知する統一的なルールが存在しなく、手法を公開することで攻撃手法が拡散してしまうリスクや開発者が情報を隠蔽するリスクが存在していた。2004年、経済産業省により「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」（平成29年経済産業省告示第19号により改正）が告示され、JVNが設計された^[3]。同時に、「情報セキュリティ早期警戒パートナーシップガイドライン」が制定された^[3]。2004年7月、JVNは運用が開始され^[1]、以下の二つの主要機関によって厳密な役割分担の下で行われている^[1]。

独立行政法人情報処理推進機構 (IPA) - 発見者からの脆弱性届出の窓口（受付機関）として機能する。届出内容の受理、一次的な精査、および脆弱性対策の普及啓発を行う。また、届出制度全体の法的・制度的な整備や、Webアプリケーション脆弱性の修正依頼を担う^[2]。

JPCERTコーディネーションセンター (JPCERT/CC) - IPAから引き渡された届出情報を基に、製品開発者との技術的な調整（調整機関）を行う。具体的には、脆弱性の検証依頼、対策の検討支援、公表スケジュールの調整を行う。また、米国のCERT/CCや海外のCSIRTと連携し、国際的な情報の流通ハブとしても機能する^[2]。

IPAは、2026年4月以降にJVN iPediaおよびMyJVNのシステムを大規模に刷新することを発表している^[4]。最新の深刻度評価基準であるCVSS v4への対応や、JSON形式でのデータフィードの提供、SBOMとの連携を強化を計画している^[4]。

脆弱性情報の取扱い

JVNにおける情報流通プロセスは、対象となる脆弱性の種類によって「ソフトウェア製品」と「Webアプリケーション」の2つに大別される^[3]。

ソフトウェア製品の取扱い - OS、ブラウザ、メールソフト、サーバーソフトウェア、組込み機器のファームウェアなどが対象となる。発見者からの届出をIPAが受理し、JPCERT/CCが開発者と連絡を取り、検証・対策の作成・公表日の調整を行う。

Webアプリケーションの取扱い - 特定のWebサイト上で稼働するWebアプリケーションが対象となる。IPAが直接サイト運営者に連絡を行い、修正を依頼する。原則として、個別の脆弱性がJVNで詳細に公表されることはない（統計データとしては処理される）。

調整不能案件の処理

開発者と連絡が取れない、あるいは開発者が修正を拒否する場合の調整不能案件への対応として、公表判定委員会が存在する^[3]。JPCERT/CCが開発者に連絡を試みても応答がない場合、JVNサイト上の連絡不能開発者一覧に製品名を掲載し、開発者からの接触を呼びかける。それでも連絡不能の状態が続く場合、IPAは公表判定委員会を招集し、委員会が公表妥当と判断した場合、経済産業大臣への手続を経て、JVN上で開発者名や脆弱性の詳細が公表される。これは、開発者の利益とユーザーの安全を天秤にかけた際の、ユーザー保護優先の原則に基づく措置である^[3]。

評価指標

JVNおよびそのデータベースであるJVN iPediaは、情報の相互運用性と機械可読性を高めるため、国際的なセキュリティ標準仕様を採用している^[5]。

脆弱性識別子（CVE） - 米国MITRE社が管理する脆弱性の辞書であり、世界共通のID（CVE-ID）を付与することで、情報の重複や混同を防いでいる。JVNはMITRE社から認定された「CVE Information Source Site」である。

脆弱性タイプ（CWE） - 脆弱性の種類を分類し、体系化するためにCWE（Common Weakness Enumeration）が使用されている。JVN iPediaでは、CWE-IDを用いてSQLインジェクションやクロスサイトスクリプティングなどの脆弱性タイプ別に検索が可能である。

深刻度評価（CVSS） - 脆弱性の深刻度を定量的かつ客観的に評価するためにCVSS（Common Vulnerability Scoring System）が採用されている。JVNでは、CVSS v2およびv3のスコアを併記して提供している。

プラットフォーム識別（CPE） - ハードウェア、OS、アプリケーションなどのIT資産を識別するための共通名称としてCPE（Common Platform Enumeration）が使用されている。

国際連携

JVNで公表される情報は、国内からの届出（識別子：JVN#）に加え、米国のCERT/CCやその他海外のCSIRT、製品ベンダーから提供された情報も「国際取扱脆弱性情報」として扱われ、「JVNVU#」という識別子で公開される^[2]。

JVN iPedia

JVN iPediaは、2007年4月に開設された脆弱性対策情報データベースである^[5]。JVNサイトで公表された国内の調整情報に加え、NVDなど海外の公開情報やベンダーからの直接情報も収集・翻訳して蓄積している。2007年の開設当初は約3,500件であった登録数は、2012年には15,000件を超え、その後も増加し続けている^[5]。

情報の活用を促進するために「MyJVN」というフレームワークが提供されており、APIを通じてJVN iPediaのデータを外部から利用可能にしている^[4]。現在、緊急性の高い注意喚起情報を取得するgetAlertListなどのAPIが提供されている。

MyJVN APIを活用した公式ツールとして、IPAは以下のソフトウェアを無償提供している^[4]。

MyJVNバージョンチェッカ（.NET版） - PCにインストールされている主要なソフトウェア製品（Java, Adobe Reader, Google Chromeなど）のバージョンをチェックし、最新版であるかを確認するツール。

mjcheck4 - 組織が利用している製品群を登録し、関連する脆弱性情報をフィルタリングして収集するツール。ソフトウェア部品表（SBOM）のインポートに対応している。今後はAPI利用やスクレイピングに対するレートリミットが導入されるほか、mjcheck4の後継となる「mjcheck5」のリリースが予定されている^[4]。

脚注

[脚注の使い方]

1 2 3 “Japan Vulnerability Notes／JVN とは？”. JVN. 2026年2月16日閲覧。
1 2 3 4 JPCERTコーディネーションセンター『JPCERT/CC 活動概要 [2020年4月1 日～ 2020年6月30 日]』（レポート）2020年7月14日。2026年2月16日閲覧。
1 2 3 4 5 “脆弱性関連情報の届出受付”. 独立行政法人情報処理推進機構. 2026年2月16日閲覧。
1 2 3 4 5 “脆弱性対策情報共有フレームワーク - MyJVN”. JVN iPedia. 2026年2月16日閲覧。
1 2 3 “脆弱性対策情報データベース／JVN iPedia とは？”. JVN iPedia. 2026年2月16日閲覧。

[jvn_about-1] 1 2 3 “Japan Vulnerability Notes／JVN とは？”. JVN. 2026年2月16日閲覧。

[jpcert_report-2] 1 2 3 4 JPCERTコーディネーションセンター『JPCERT/CC 活動概要 [2020年4月1 日～ 2020年6月30 日]』（レポート）2020年7月14日。2026年2月16日閲覧。

[ipa_report-3] 1 2 3 4 5 “脆弱性関連情報の届出受付”. 独立行政法人情報処理推進機構. 2026年2月16日閲覧。

[myjvn-4] 1 2 3 4 5 “脆弱性対策情報共有フレームワーク - MyJVN”. JVN iPedia. 2026年2月16日閲覧。

[jvndb_about-5] 1 2 3 “脆弱性対策情報データベース／JVN iPedia とは？”. JVN iPedia. 2026年2月16日閲覧。

[1]

[2]

[3]

[4]

[5]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディング（英語版）クロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) ドメインハイジャックセッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) クリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) Eメール・インジェクション（英語版）メールボム Eメールスプーフィング
マルウェア・悪意のあるプログラム	アドウェアインターネットボットキーロガークリプトジャッキング (仮想通貨マイニング) コンピュータウイルススケアウェア (偽警告) ステガノグラフィ・マルウェア（英語版）スパイウェアダウンローダートロイの木馬ドロッパーバックドアファイルレスマルウェアボットネットポリモーフィック型マルウェアマルバタイジングランサムウェアルートキットワイパー (データ消去型) ワーム
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) Forward secrecy 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Pretty Good Privacy（PGP） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃アクティブディフェンスエクスプロイトキットゼロデイ攻撃サイバーキルチェーンクラッキング最小権限の原則サイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングゾンビコンピュータセキュリティホールダークウェブデジタル・フォレンジック難読化ハクティビズムハッカーブラウザクラッシャーペイロード水飲み場型攻撃 Metasploit ラテラルムーブメント PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）国家サイバー統括室（NCO）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

Japan Vulnerability Notesとは？わかりやすく解説