ソフトウェアの脆弱性と対策情報を管理するJVNとは

コンピュータのOSやソフトウェアには、プログラムの不具合や設計上のミスが原因となり発生した情報セキュリティ上の欠陥が存在し、これらを「脆弱性」と呼びます。脆弱性が存在するハードウェアやソフトウェアを利用しつづけることによって、コンピュータに不正アクセスされたり、ウイルスに感染したりするリスクに晒されます。
日本国内で流通するソフトウェア等の製品に関する脆弱性とそれらへの対策情報がJapan Vulnerability Notes (JVN)で公開されています。今回は、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)と、独立行政法人情報処理推進機構(IPA)が共同で運営しているJVNによって、どの様に脆弱性や対策情報が公開されているかを見ていきましょう。

情報システムと脆弱性

私たちがビジネスや生活の中で利用しているソフトウエアは消耗することがないため、時間が経ってもその機能は劣化しません。しかし、時間が経ち、情報システムに対する新しい攻撃手法が開発されたり、情報セキュリティ上の欠陥や弱点が発見されると、情報システムの安全性はたちまち低下します。つまり、システムの運用を開始してから何年間も更新されていない情報システムは、変化する脅威に対応できず、危険な状態に晒される可能性があるということです。
脆弱性対策は情報セキュリティ対策の一つで、攻撃を受ける弱点を減らす対策です。他の対策に注力していたとしても、脆弱性対策が不十分だと、ウイルスに感染する等のトラブルを招きかねません。セキュリティ担当者は、情報セキュリティ対策の一環として、情報システムの設計・開発、運用等の各フェーズで必要な脆弱性対策を実施することが求められます。

脆弱性情報と対策を提供するJVN

JVN は、"Japan Vulnerability Notes" の略であり、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。

◆JVN

脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。

MyJVNを活用して先ずはチェックから

脆弱性は日々発見されており、時間の経過とともに攻撃により被害に遭うリスクは増大していきます。JVNの脆弱性対策情報データベースには、MyJVNバージョンチェッカというツールが用意されており、このツールではPCにインストールされたソフトウェア製品のバージョンが最新であるかを確認することができます。先ずは普段仕事やプライベートで使用しているPCにインストールされたソフトウェアが、脆弱性の無い最新バージョンに更新されているかを確認してみてはいかがでしょうか。脆弱性対策への取り組みの第一歩になるものと思います。