|  JVN iPedia 脆弱性対策情報の利用   |  お問い合わせ  |

よくある質問と答え（FAQ）

JVN iPedia 脆弱性対策情報の利用

• 脆弱性対策情報データベース検索
  • Q1-1. 検索キーワードに文字列指定した検索結果を教えてください。


• 掲載情報全般
  • Q2-1. JVN iPedia と JVN の公開情報に違いはありますか。
  • Q2-2. 脆弱性対策情報の読み方を教えてください。


• 脆弱性対策情報について
  • Q3-1. 掲載される情報の基準はありますか。
  • Q3-2. 公表日などの日付は何を示してますか。
  • Q3-3. NVDの公開されている情報の説明と異なりますがどうしてですか。
  • Q3-4. NVDの公開されている情報が更新されたら脆弱性対策情報も更新されますか。
  • Q3-5. CVSS値による深刻度が空欄（または−）の情報があります。
  • Q3-6. 公表日が数ヶ月から1年以上前の情報が最近になり掲載されてますがどうしてですか。
  • Q3-7. ある特定の製品における情報を出力して集計を行いたいのですが、製品毎の情報はファイルで提供してますか。
  • Q3-8. 販売やサポートが終了している製品についも情報は掲載されるのでしょうか。
  • Q3-9. 脆弱性対策情報の英語サイトは、どのような基準で英語で登録しているのでしょうか。
  • Q3-10. 毎月発信されるマイクロソフト社やオラクル社などの情報が直ぐに脆弱性対策情報へ登録、掲載されない理由を教えてください。
  • Q3-11. 最新の脆弱性対策情報をメール等で通知するサービスはありますか。
  • Q3-12. 脆弱性対策情報とマイクロソフト社など開発元が公開する情報とでCVSS値や影響受けるシステムなど異なる箇所があります。
  • Q3-13. CVE番号やCVSS値などが付与されていない情報は存在しますか。
  • Q3-14. 脆弱性対策情報は開発元から公開される情報だけでしょうか。
  • Q3-15. 新しい製品の情報が掲載されるタイミングを教えてください。
  • Q3-16. JVNから公開されている情報が、すぐに掲載されないのはどうしてですか。
  • Q3-17. NVDの公開されている情報のうち影響を受けるソフトウェア（Known Affected Software Configurations）の全てがJVN iPediaに掲載されていません。
  • Q3-18. NVDに公開されている情報が、JVN iPediaに掲載されていないのはどうしてですか。


• データフィードについて
  • Q4-1. JVNDBRSSの新着情報と新着/更新情報などはどのような違いがありますか。
  • Q4-2. データフィードはいつ更新されますか。
  • Q4-3. 脆弱性対策情報が複数のCVE番号を包括している場合、JVNRSSでCVE番号の出力する基準はありますか。
  • Q4-4. データフィードを使用して商用サービスを検討しています。商用利用は認められてますか。
  • Q4-5. 製品一覧のデータフィードに同じベンダ名や同じ製品名がありますが、どのような違いがありますか。


• 商用利用や引用について
  • Q5-1. 脆弱性対策情報を使用して商用サービスを検討しています。商用利用は認められてますか。
  • Q5-2. 脆弱性対策情報の引用、転載、再配布は可能でしょうか。

　

Q1-1. 検索キーワードに文字列指定した検索結果を教えてください。

キーワードに指定された文字列に空白がある場合は、それを区切り文字として全ての語句が含まれる情報を検索します。
複数の語句のいずれかが含まれる検索は行えません。
検索は脆弱性対策情報の概要、対策、ベンダ情報、参考情報から行われます。

Q2-1. JVN iPedia と JVN の公開情報に違いはありますか。

JVN iPediaは日々発見される脆弱性対策情報を”蓄積”することで幅広くご利用いただくことを目的としています。
JVNが公開する情報のほか、国内外問わず公開された脆弱性対策情報をデータベースとして蓄積しています。

JVNは”いち早く一般に周知”することを目的に、早期警戒パートナーシップで取り扱われた脆弱性関連情報や、
協力関係を結んでいる海外のCERT等からの情報を公開しています。

（参考）JVNとJVN iPediaはどのように違うのですか？

Q2-2. 脆弱性対策情報の読み方を教えてください。

JVN iPedia が掲載している脆弱性対策情報の説明は「脆弱性対策情報データベース(詳細ページ)の読み方」 にて案内しています。

（参考）■脆弱性対策情報データベース(詳細ページ)の読み方

Q3-1. 掲載される情報の基準はありますか。

脆弱性対策情報は次の組織からの情報を一次情報して使用しています。

• JPCERT/CCおよびIPAが運営する JVN に掲載される情報（https://jvn.jp/）
• 米国NIST(National Institute of Standards and Technology)が運営するNVD(National Vulnerability Database)に掲載される情報（https://nvd.nist.gov/）
• 国内ベンダに掲載される情報（富士通株式会社、日本電気株式会社、株式会社日立製作所）（敬称略）

これらの組織から新しい情報が公開されれば、脆弱性対策情報を掲載しています。

（参考） 蓄積対象となる脆弱性対策情報はどこから収集しているのですか？

Q3-2. 公表日などの日付は何を示してますか。

- 脆弱性対策情報 公表日
　 ベンダ情報アドバイザリの公開日、他組織やセキュリティポータルサイト等の登録/公開日、
　 発見者が一般向けに報告した日など、脆弱性対策情報が一般に公表された日付。
- 脆弱性対策情報 登録日
　 JVN iPedia 脆弱性対策情報に初めて登録された日付。
- 脆弱性対策情報 最終更新日
　 JVN iPedia 脆弱性対策情報が更新された最後の日付。
　 （初回掲載時は「登録日」と同じ日付となり、脆弱性対策情報が更新された場合は「最終更新日」が更新されます。）

（参考） 脆弱性対策情報データベース(詳細ページ)の読み方:日付について
　

Q3-3. NVDの公開されている情報の説明と異なりますがどうしてですか。

NVDの Current Description の内容をそのまま全て掲載しておらず、NVDのCWE-ID（CWE識別子）
にて示される脆弱性の種類を識別するための共通基準を基に脆弱性対策情報を掲載しています。

（参考） 共通脆弱性タイプ一覧CWE概説
　

Q3-4. NVDの公開されている情報が更新されたら脆弱性対策情報も更新されますか。

NVDの情報は脆弱性対策情報の登録日時点の情報を採用しており、それ以降にNVDの情報が更新されても 原則、情報の更新は行わない運用としています。なお、運用の見直しを行い今後は行う予定としています。
また、ベンダーなどから脆弱性が対策済であることや、ベンダ名などの情報の修正依頼が寄せられた際は、 必要に応じて更新対応をしています。

Q3-5. CVSS値による深刻度が空欄（または−）の情報があります。

脆弱性対策情報は掲載に適した情報が揃っているかなどを判断し掲載しています。 一次情報として取り扱うJVNに公開される情報、そして国内ベンダからの情報に限り、CVSS値が補完されずとも掲載をしています。

NVDでは2022年7月13日以降の情報は、CVSS v2 の生成は行わない運用となりました。 そのため、JVN iPediaにおいてもその対象は空欄にて掲載されます。

Q3-6. 公表日が数ヶ月から1年以上前の情報が最近になり掲載されてますがどうしてですか。

脆弱性対策情報は主に一次情報として取り扱いしているNVDの情報を順次公開しています。
ただし、NVDから情報が公開されたとしても、CVSS値などの情報が不足している場合は、原則、それらの情報が補完されるまで掲載を見送る運用としています。

Q3-7. ある特定の製品における情報を出力して集計を行いたいのですが、製品毎の情報はファイルで提供してますか。

脆弱性対策情報の詳細や概要情報をデータフィードとしてXML形式で情報を公開していますが、製品毎の情報はファイル提供していません。
また、過去の脆弱性対策情報は、公表年別のファイルを公開しいます。これらファイルのご利用を検討ください。

（参考）データフィード

Q3-8. 販売やサポートが終了している製品についも情報は掲載されるのでしょうか。

脆弱性対策情報は、製品のサポート終了（EOS）やEOLなどは問わず、一次情報から新しく公開された情報を掲載しています。
なお、サポート終了（EOS）やEOLの製品の脆弱性は開発元からの情報開示が行なわれる場合が少ない傾向にあり、
開示されない情報は脆弱性対策情報に掲載されないこともあります。

Q3-9. 脆弱性対策情報の英語サイトは、どのような基準で英語で登録しているのでしょうか。

一次情報として取り扱いしている次の組織からの情報に限り、英語で公開された情報をJVN iPedia (English）へ登録しています。

• JPCERT/CCおよびIPAが運営する JVN に掲載される情報（https://jvn.jp/）
• 国内ベンダに掲載される情報（富士通株式会社、日本電気株式会社、株式会社日立製作所）

Q3-10. 毎月発信されるマイクロソフト社やオラクル社などの情報が直ぐに脆弱性対策情報へ掲載されない理由を教えてください。

マイクロソフト社やオラクル社などの脆弱性対策情報は、一次情報として取り扱いしているNVDから公開される情報を使用しています。
そのため、開発元から情報が公開された場合でも、その情報がNVDに公開されるまで脆弱性対策情報には掲載されません。

Q3-11. 最新の脆弱性対策情報をメール等で通知するサービスはありますか？

脆弱性対策情報を通知するメールサービスはございません。
なお、新着/更新情報はRSS形式で情報を提供しており、RSS対応ブラウザやRSSリーダーなど専用ソフトウェアを利用することで新着情報を収集いただけます。

（参考）JVNDBRSSとは何ですか？

Q3-12. 脆弱性対策情報とマイクロソフト社など開発元が公開する情報とでCVSS値や影響受けるシステムなど異なる箇所があります。

脆弱性対策情報は主にNVDが公開した情報を一次情報にしており、それを基に二次情報として脆弱性対策情報へ掲載しています。
脆弱性対策情報の「影響を受けるシステム」はNVDのCPE情報を使用しており、「CVSS値」についてもNVDのCVSS値を使用しています。
NVDが公開した情報と開発元が公開した情報に異なる箇所がある場合は、脆弱性対策情報のベンダ情報や参考情報をご確認ください。

Q3-13. CVE番号やCVSS値などが付与されていない情報は存在しますか。

一次情報として取り扱うNVD以外の次の組織から公開される情報は、CVE番号やCVSS値などの情報が付与されなくとも脆弱性対策情報へ掲載されます。

• JPCERT/CCおよびIPAが運営する JVN に掲載される情報（https://jvn.jp/）
• 国内ベンダに掲載される情報（富士通株式会社、日本電気株式会社、株式会社日立製作所）

Q3-14. 脆弱性対策情報は開発元から公開される情報だけでしょうか。

脆弱性対策情報は第三者が発見した情報も掲載されます。第三者が発見した情報の場合は脆弱性の届出を受ける組織にて行われます。
国内ではIPAが脆弱性関連情報の届出受付を担っています。

（参考）IPA 脆弱性関連情報の届出受付

Q3-15. 新しい製品の情報が掲載されるタイミングを教えてください。

有償、無償に関わらず一次情報として取り扱いしている組織からの情報を掲載しています。 そのため、脆弱性が発見されていない製品の情報は掲載されません。

Q3-16. JVNから公開されている情報が、すぐに掲載されないのはどうしてですか。

JVNからの情報の中で、その情報がJVNVUの情報であり複数のCVE番号に紐づいている場合は、
JVN iPediaでは、1つのCVE番号と1対1になるように掲載するようにしており、NVDからそのCVE番号の情報公開 （CVSS値やCWE値などすべての情報の公開時）を待って掲載しています。
そのため、掲載が遅れる場合があります。

Q3-17. NVDの公開されている情報のうち影響を受けるソフトウェア（Known Affected Software Configurations）の全てがJVN iPediaに掲載されていません。

JVN iPediaでは、NVDから公表される影響を受けるソフトウェアを全て掲載していない場合があります。影響を受けるソフトウェアの詳細については、ベンダ情報や参考情報からご確認ください。

Q3-18. NVDに公開されている情報が、JVN iPediaに掲載されていないのはどうしてですか。

JVN iPediaでは、NVDにて分析が終了している情報を取扱いしています。NVDの情報が受付（Received）や分析待ち（Awaiting Analysis）等の情報は分析が終了するまで掲載されません。

Q4-1. JVNDBRSSの新着情報と新着/更新情報はどのような違いがありますか。

• JVNDBRSS-新着情報
直近（500件）に新規公開した脆弱性対策情報を出力しているRSS。
更新タイミングは日2回（12:00,17:00） 　
• JVNDBRSS-新着/更新情報
直近（500件）に新規公開および更新した脆弱性対策情報を出力しているRSS。
更新タイミングは日2回（12:00,17:00） 　
• JVNDBRSS-YYYY年
公表年別に脆弱性対策情報をすべて出力しているRSS。
更新タイミングは週1回。

Q4-2. データフィードはいつ更新されますか。

JVNDBRSS-新着情報	日2回（12:00,17:00）
JVNDBRSS-新着/更新情報	日2回（12:00,17:00）
JVNDBRSS-YYYY年	週1回（日曜日）
脆弱性対策情報詳細-YYYY年	週1回（日曜日）
ベンダ一覧 YYYY年MM月	月1回（月の始め）
製品一覧 YYYY年MM月	月1回（月の始め）

Q4-3. 脆弱性対策情報に複数のCVE番号が掲載している場合、JVNRSSでCVE番号の出力する基準はありますか。

CVSS v2による深刻度"が一番高いものだけをJVNDBRSSとして公開しています。 また、CVSS v2の評価が行われない脆弱性対策情報はCVSS v3を採用しています。

Q4-4. データフィードを使用して商用サービスを検討しています。商用利用は認められてますか。

データフィードを使用しての商用利用について、特に制限などは設けておりません。
当機構から提供するサービスはMyJVN APIの規約と同じ規約として取り扱います。
「MyJVN API 利用上の規約」を十分にご理解した上でご利用下さい。

（参考）MyJVN API 利用上の規約

Q4-5. 製品一覧のデータフィードに同じベンダ名や同じ製品名がありますが、どのような違いがありますか。

JVNiPediaでは、NVDが公開する脆弱性対策情報とその情報に関連する製品情報のCPE識別子を原則、NVDからの情報を改変せずに採用しています。 そのため、NVDが過去に取り扱いをした脆弱性策情報のCPEと異なる識別子を付与してきた場合、JVN iPediaでは異なるCPEとして登録が行われる場合があります。
脆弱性対策情報を収集するためにMyJVN APIや脆弱性対策情報データベース検索を利用される際には重複しているベンダ名や製品名の製品を収集対象に含めてご利用ください。

○同じベンダ名の例
<Vendor vname="Palo Alto Networks" cpe="cpe:/:palo_alto_networks" vid="4286"/>
<Vendor vname="Palo Alto Networks" cpe="cpe:/:paloaltonetworks" vid="19219"/>

○同じ製品名の例
<Product pname="VMware ESXi" cpe="cpe:/o:vmware:esxi" pid="16924"/>
<Product pname="VMware ESXi" cpe="cpe:/a:vmware:esxi" pid="2020"/>

Q5-1. 脆弱性対策情報を使用して商用サービスを検討しています。商用利用は認められてますか。

脆弱性対策情報を使用しての商用利用について、特に制限などは設けておりません。
当機構から提供するサービスはMyJVN APIの規約と同じ規約として取り扱います。
「MyJVN API 利用上の規約」を十分にご理解した上でご利用下さい。

（参考）MyJVN API 利用上の規約

Q5-2. 脆弱性対策情報の引用、転載、再配布は可能でしょうか。

引用、転載、再配布するにあたり、特に制限は設けておりません。
また、ご利用の際はメールでお知らせいただくことをお願いしております。

（参考）JVN iPediaのデータについて

TOP

お問い合わせ

■JVN iPedia に関するお問い合わせ
  宛先:

更新履歴

2021年8月6日 新規．