// シス担のミカタ
脆弱性管理

JVN(Japan Vulnerability Notes) じぇいぶいえぬ

脆弱性セキュリティ情報CVECVSSIPAJPCERT/CC
JVNについて教えて

簡単に言うとこんな感じ!

JVNは「日本のソフトウェアのセキュリティ上の穴(脆弱性)」をまとめて公開している国産のデータベースだよ。「このソフトに危険な欠陥が見つかった」という情報を一か所で調べられる、いわばセキュリティ版の「リコール情報サイト」みたいなもの!

JVN(Japan Vulnerability Notes)とは

JVN(Japan Vulnerability Notes) は、日本国内で利用されているソフトウェアやシステムの**脆弱性(セキュリティ上の欠陥)**に関する情報を収集・公開する情報ポータルです。**IPA(情報処理推進機構)JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)**が共同で運営しており、無料で誰でも参照できます。

企業がシステムを運用していると、日々「使っているソフトウェアに危険な脆弱性が見つかった」というニュースが飛び込んできます。しかしどれが本当に自社に影響するのか、どう対処すればよいのか、情報が散らばっていて判断が難しい。JVNはそうした情報を日本語で一元的に整理し、影響を受けるバージョン・対策方法・深刻度スコアをセットで提供することで、担当者が迅速に対応できるよう支援しています。

JVNに掲載される情報は大きく2つのルートから来ます。一つは国内外のソフトウェアベンダーが脆弱性を修正する際に自ら届け出るケース、もう一つは研究者やセキュリティ機関が発見した脆弱性をJPCERT/CCが調整(コーディネーション)して公開するケースです。このため、日本発のソフトウェアやガラパゴスな業務ソフトの脆弱性情報も掲載されることが多く、グローバルデータベースだけでは拾いきれない国内固有の情報をカバーできる点が強みです。

JVNの構造と掲載情報

各JVNエントリには、以下のような情報が標準的に含まれています。

項目内容
JVN番号JVN#XXXXXXXX 形式の識別子。日本固有の採番
CVE番号国際標準の脆弱性識別子(例: CVE-2024-XXXX)。紐付けがある場合
概要脆弱性の内容を日本語で説明
影響を受けるシステム対象製品名・バージョン一覧
CVSSスコア深刻度を数値(0〜10)で示す国際指標
対策パッチ適用・設定変更など、推奨される対処法
ベンダー情報製品開発元の公式アナウンスへのリンク

CVSSスコアで深刻度を判断する

CVSS(Common Vulnerability Scoring System)は脆弱性の危険度を0〜10の数値で表す国際的な指標で、JVNでも採用されています。

CVSSスコア深刻度目安
9.0〜10.0緊急(Critical)即座にパッチ適用が必要
7.0〜8.9重要(High)早急に対処を検討
4.0〜6.9警告(Medium)計画的に対処
0.1〜3.9注意(Low)余裕があれば対処
0.0なし(None)実害なし

JVNiPediaとの違い

JVNには姉妹サービスとして JVN iPedia(JVNアイピーディア) があります。

JVNJVN iPedia
収録範囲国内ソフト中心・ベンダー届け出ベース国際的な脆弱性(NVDミラーも含む)を網羅
情報量厳選・精査済み大量(数十万件以上)
用途日本語で詳細・対策を調べる特定製品・CVE番号で横断検索
URLjvn.jpjvndb.jvn.jp

実務では「JVNで詳細を読み、JVN iPediaで製品全体の傾向を調べる」という使い分けが一般的です。

歴史と背景

  • 2002年 — IPA と JPCERT/CC が脆弱性情報の調整・公開の枠組みを整備開始
  • 2003年 — JVN(Japan Vulnerability Notes)として正式運用開始。日本初の組織横断的な脆弱性情報ポータル
  • 2007年 — JVN iPedia(脆弱性対策情報データベース)を公開。CVEベースの大規模収録を開始
  • 2008年 — 経済産業省の「情報セキュリティ早期警戒パートナーシップ」ガイドラインに基づき、脆弱性届け出制度が正式整備。JVNが情報公開の公式窓口に
  • 2010年代 — スマートフォンアプリ・IoT機器の脆弱性も対象範囲に拡大
  • 2014年 — CVSS v3への対応を開始(v2と併記)
  • 2021年以降サプライチェーン攻撃の増加を受け、オープンソースソフトウェアや国産クラウドサービスの脆弱性掲載も増加傾向

JVNを取り巻くエコシステム

JVNは単独で機能しているのではなく、国際的な脆弱性管理の枠組みの中に位置しています。

JVNを取り巻くエコシステム JVN jvn.jp(IPA + JPCERT/CC) ベンダー届け出 国内外のソフト開発元 CVE / NVD 米国MITRE・NIST運営 研究者・発見者 JPCERT/CCが調整 JVN iPedia 大規模DB・横断検索 利用企業・担当者 脆弱性対策・パッチ管理 ※ JVNの情報はJVN iPediaにも収録され、企業の脆弱性管理に活用される

実務での活用シーン

シーンJVNの使い方
新聞・ニュースで脆弱性を見たJVNで製品名・CVE番号を検索し、自社への影響を確認
システム発注前の安全確認採用予定製品の過去の脆弱性件数・深刻度を調べる
定期的な脆弱性チェックJVN iPediaでRSSフィードを購読して新着通知を受け取る
ベンダーへの問い合わせJVN番号を提示して「この脆弱性への対応状況を教えてほしい」と依頼

関連する規格・RFC

規格・番号内容
RFC 9116security.txtの標準化。脆弱性報告の連絡先をWebサイトに明示する仕組み
RFC 5070IODEF(インシデント情報の共有フォーマット)。JPCERT/CCも採用

関連用語

  • CVE — 脆弱性に付与される国際的な識別番号(Common Vulnerabilities and Exposures)
  • CVSS — 脆弱性の深刻度を0〜10で数値化する国際スコアリング指標
  • IPA — 情報処理推進機構。JVNを共同運営する日本の公的機関
  • JPCERT/CC — サイバーセキュリティの調整機関。脆弱性情報のコーディネーションを担当
  • 脆弱性管理 — 組織のシステムにある脆弱性を継続的に発見・評価・修正するプロセス
  • パッチ管理 — ソフトウェアの修正プログラム(パッチ)を計画的に適用・管理する取り組み
  • NVD — 米国NISTが運営する国際的な脆弱性データベース(National Vulnerability Database)
  • ゼロデイ脆弱性 — パッチが提供される前に悪用される脆弱性。JVNでの公開前に攻撃が始まるケース