CVEメモ

CVEとは

  • CVEとは、Common Vulnerabilities and Exposures(共通脆弱性識別子)
  • CVEは、ソフトウェアの脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が提供している脆弱性情報データベース

番号の付け方

  • CVEでは脆弱性にユニークな識別番号 「CVE-ID」(CVE-登録時の西暦-通し番号の形式)です。
    • 脆弱性「Heartbleed」は、2014年4月7日にCVE-2014-0160として発表されました。つまり、CVE-ID の構成から、2014年に0160番として登録

JVNとは

JVN(ジェイブイエヌ)は「Japan Vulnerability Notes」の略で、日本国内で使用されているソフトウエアなどの脆弱性関連情報と対策情報の提供を目的にしたポータルサイト

JVN iPedia

  • JVN iPediaは、国内外問わず日々公開される脆弱性対策情報を収集、蓄積することを目的とした脆弱性対策情報データベースです。目的の脆弱性対策情報を容易にご利用いただくために、様々な検索機能をご用意しています。

JVNJVN iPediaはどのように違うのですか?

  • JVN iPediaはJVNの情報に加えて、「脆弱性対策情報データベース(JVN iPedia=ジェイブイエヌ アイ・ペディア)」には日々発見される脆弱性対策情報が収録JVN iPediaは日々発見される脆弱性対策情報を蓄積することで幅広くご利用いただくことを目的としています。JVNに掲載される脆弱性対策情報のほか、国内外問わず公開された脆弱性対策情報を広く公開対象とし、データベースとして蓄積しています。
  • 一方、JVNでは、いち早く一般に周知することを目的に、早期警戒パートナーシップで取扱われた脆弱性関連情報や、 協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載しています。JVNの詳細については「JVNとは?」をあわせて参照下さい。

CVSS

基準のこと

  • 脆弱性対策情報データベースでは、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を用いて、評価結果およびCVSS基本値の評価内容を記載し、脆弱性の固有の深刻度を表しています。
  • なお、CVSSには、FIRSTから2007年6月20日に公開された共通脆弱性評価システムCVSSv2、2015年6月10日に公開されたCVSSv3が存在し、JVNiPediaでは2015年12月1日より情報セキュリティ早期警戒パートナーシップで報告された脆弱性を対象にCVSSv2、CVSSv3を併記して公開しています。

「CVSSv2」と「CVSSv3」の違いについて

CVSSv2は、攻撃対象となるホストやシステムにおいての「脆弱性による深刻度」を評価していましたが、CVSSv3では、仮想化やサンドボックス化などが進んできていることから、コンポーネント単位で評価する手法を取り込んだ仕様となっています。

用語

CERT

コンピュータセキュリティインシデントに対応する活動を行う組織名称に、しばしば「CERT」という語を用いることがあります。 「CERT」という語は組織によってその意味が異なります。

「CSIRT」(「シーエスアイアールティー」もしくは「シーサート」と読みます)

意味が組織によって異なるのでこのような組織を呼称する際の一般名詞

NVD

JVNipedia のアメリカ版。たぶん、jvnipedia があるのでここまでみなくてよい。ここらへんと連携とってるぽいので。