JVN iPedia >> よくある質問と答え(FAQ)
|  JVN iPedia 脆弱性対策情報の利用   |  お問い合わせ  |

よくある質問と答え(FAQ)

JVN iPedia 脆弱性対策情報の利用


 

Q1-1. JVN iPedia と JVN の公開情報に違いはありますか。

JVN iPediaは日々発見される脆弱性対策情報を”蓄積”することで幅広くご利用いただくことを目的としています。
JVNが公開する情報のほか、国内外問わず公開された脆弱性対策情報をデータベースとして蓄積しています。

JVNは”いち早く一般に周知”することを目的に、早期警戒パートナーシップで取扱われた脆弱性関連情報や、
協力関係を結んでいる海外のCERT等からの情報を公開しています。

(参考)JVNとJVN iPediaはどのように違うのですか?
Q1-2. 脆弱性対策情報の読み方を教えてください。

JVN iPedia が掲載している脆弱性対策情報の説明は「脆弱性対策情報データベース(詳細ページ)の読み方」 にて案内しています。

(参考)■脆弱性対策情報データベース(詳細ページ)の読み方
Q2-1. 掲載される情報の基準はありますか。

脆弱性対策情報は次の組織からの情報を一次情報して使用しています。
  • JPCERT/CCおよびIPAが運営する JVN に掲載される情報(https://jvn.jp/)
  • 米国NIST(National Institute of Standards and Technology)が運営するNVD(National Vulnerability Database)に掲載される情報(https://nvd.nist.gov/)
  • 国内ベンダに掲載される情報(富士通株式会社、日本電気株式会社、株式会社日立製作所)(敬称略)
これらの組織から新しい情報が公開されれば、脆弱性対策情報を掲載しています。

(参考) 蓄積対象となる脆弱性対策情報はどこから収集しているのですか?
Q2-2. 公表日などの日付は何を示してますか。

- 脆弱性対策情報 公表日
  ベンダ情報アドバイザリの公開日、他組織やセキュリティポータルサイト等の登録/公開日、
  発見者が一般向けに報告した日など、脆弱性対策情報が一般に公表された日付。
- 脆弱性対策情報 発行日
  JVN iPedia 脆弱性対策情報に初めて登録された日付。
- 脆弱性対策情報 登録日
  JVN iPedia 脆弱性対策情報が更新された最後の日付。
  (初回掲載時は「発行日」と同じ日付となり、脆弱性対策情報が更新された場合は「更新日」が更新されます。)

(参考) 脆弱性対策情報データベース(詳細ページ)の読み方:日付について
 
Q2-3. NVDの公開されている情報が更新されたら脆弱性対策情報も更新されますか。

NVDの情報は脆弱性対策情報の登録日時点の情報を採用しており、それ以降にNVDの情報が更新されても 基本は情報の更新は行わない運用としています。
なお、ベンダーなどから脆弱性が対策済であることや、ベンダ名などの情報の修正依頼が寄せられた際は、 必要に応じて更新対応をしています。
Q2-4. CVSS値による深刻度が空欄(または−)の情報があります。

脆弱性対策情報は掲載に適した情報が揃っているかなどを判断し掲載していますが、一次情報として取り扱う情報として、JVNに公開される情報、そして国内ベンダからの情報に限り、CVSS値などが補完されずとも掲載する運用としています。
Q2-5. 公表日が数ヶ月から1年以上前の情報が最近になり掲載されてますがどうしてですか。

脆弱性対策情報は主に一次情報として取り扱いしているNVDの情報を順次公開しています。
ただし、NVDから情報が公開されたとしても、CVSS値やCWE値などの情報が不足している場合は、それらの情報が補完されるまで掲載を見送る運用としています。
Q2-6. ある特定の製品における情報を出力して集計を行いたいのですが、製品毎の情報はファイルで提供してますか。

脆弱性対策情報の詳細や概要情報をデータフィードとしてXML形式で情報を公開していますが、製品毎の情報はファイル提供していません。
また、過去の脆弱性対策情報は、公表年別のファイルを公開しいます。これらファイルのご利用を検討ください。

(参考)データフィード
Q2-7. 販売やサポートが終了している製品についも情報は掲載されるのでしょうか。

脆弱性対策情報は、製品のサポート終了(EOS)やEOLなどは問わず、一次情報から新しく公開された情報を掲載しています。
なお、サポート終了(EOS)やEOLの製品の脆弱性は開発元からの情報開示が行なわれる場合が少ない傾向にあり、
開示されない情報は脆弱性対策情報に掲載されないこともあります。
Q2-8. 脆弱性対策情報の英語サイトは、どのような基準で英語で登録しているのでしょうか。

一次情報として取り扱いしている次の組織からの情報に限り、英語で公開された情報をJVN iPedia (English)へ登録しています。
  • JPCERT/CCおよびIPAが運営する JVN に掲載される情報(https://jvn.jp/)
  • 国内ベンダに掲載される情報(富士通株式会社、日本電気株式会社、株式会社日立製作所)
Q2-9. 毎月発信されるマイクロソフト社やオラクル社などの情報が直ぐに脆弱性対策情報へ掲載されない理由を教えてください。

マイクロソフト社やオラクル社などの脆弱性対策情報は、一次情報として取り扱いしているNVDから公開される情報を使用しています。
そのため、開発元から情報が公開された場合でも、その情報がNVDに公開されるまで脆弱性対策情報には掲載されません。
Q2-10. 最新の脆弱性対策情報をメール等で通知するサービスはありますか?

脆弱性対策情報を通知するメールサービスはございません。
なお、新着/更新情報はRSS形式で情報を提供しており、RSS対応ブラウザやRSSリーダーなど専用ソフトウェアを利用することで新着情報を収集いただけます。

(参考)JVNDBRSSとは何ですか?
Q2-11. 脆弱性対策情報とマイクロソフト社など開発元が公開する情報とでCVSS値や影響受けるシステムなど異なる箇所があります。

脆弱性対策情報は主にNVDが公開される情報を一次情報にしており、二次情報として脆弱性対策情報へ登録、掲載しています。
脆弱性対策情報の「概要」はNVDの「Current Description」情報、「影響を受けるシステム」はNVDのCPE情報を使用しており、 CVSS値についてもNVDのCVSS値を使用しています。
なお、NVDの情報と開発元の公開する情報に一致していない場合が見受けられる場合があります。脆弱性対策情報のベンダ情報や参考情報をご確認ください。
Q2-12. CVE番号やCVSS値などが付与されていない情報は存在しますか。

一次情報として取り扱うNVD以外の次の組織から公開される情報は、CVE番号やCVSS値などの情報が付与されなくとも脆弱性対策情報へ掲載されます。

  • JPCERT/CCおよびIPAが運営する JVN に掲載される情報(https://jvn.jp/)
  • 国内ベンダに掲載される情報(富士通株式会社、日本電気株式会社、株式会社日立製作所)
Q2-13. 脆弱性対策情報は開発元から公開される情報だけでしょうか。

脆弱性対策情報は第三者が発見した情報も掲載されます。第三者が発見した情報の場合は脆弱性の届出を受ける組織にて行われます。
国内ではIPAが脆弱性関連情報の届出受付を担っています。

(参考)IPA 脆弱性関連情報の届出受付
Q2-14. 新しい製品の情報が掲載されるタイミングを教えてください。

有償、無償に関わらず一次情報として取り扱いしている組織からの情報を掲載しています。 そのため、脆弱性が発見されていない製品の情報は掲載されません。
Q3-1. JVNDBRSSの新着情報と新着/更新情報はどのような違いがありますか。

  • JVNDBRSS-新着情報
  • 直近(200件分)に新規公開した脆弱性対策情報を出力しているRSS。
    更新タイミングは日2回(12:00,17:00)  
  • JVNDBRSS-新着/更新情報
  • 直近に新規公開および更新した脆弱性対策情報を出力しているRSS。
    更新タイミングは日2回(12:00,17:00)  
  • JVNDBRSS-YYYY年
  • 公表年別に脆弱性対策情報をすべて出力しているRSS。
    更新タイミングは週1回。

Q3-2. 脆弱性対策情報に複数のCVE番号が掲載している場合、JVNRSSでCVE番号の出力する基準はありますか。

"CVSS v2による深刻度"が一番高いものだけをJVNDBRSSとして公開しているいます。
Q3-3. データフィードを使用して商用サービスを検討しています。商用利用は認められてますか。

データフィードを使用しての商用利用について、特に制限などは設けておりません。
当機構から提供するサービスはMyJVN APIの規約と同じ規約として取り扱います。
「MyJVN API 利用上の規約」を十分にご理解した上でご利用下さい。

(参考)MyJVN API 利用上の規約
Q4-1. 脆弱性対策情報を使用して商用サービスを検討しています。商用利用は認められてますか。

脆弱性対策情報を使用しての商用利用について、特に制限などは設けておりません。
当機構から提供するサービスはMyJVN APIの規約と同じ規約として取り扱います。
「MyJVN API 利用上の規約」を十分にご理解した上でご利用下さい。

(参考)MyJVN API 利用上の規約
Q4-2. 脆弱性対策情報の引用、転載、再配布は可能でしょうか。

引用、転載、再配布するにあたり、特に制限は設けておりません。
なお、ご利用の際はメールでの一報をいただく事をお願いしています。

(参考)JVN iPediaのデータについて

TOP

お問い合わせ

■JVN iPedia に関するお問い合わせ
  宛先: Mail Address isec-jvndb

更新履歴

2021年8月6日 新規.