情報処理安全確保支援士 オンライン講習Aを受けた備忘録（３）～Japan Vulnerability Notes（JVN）～【前編】

情報処理安全確保支援士　オンライン講習Aを受けた備忘録（３）

内容：情報処理安全確保支援士　オンライン講習A
日時：2020年5月

Japan Vulnerability Notes（JVN）【前編】

---

• 目標　JVNがどのような脆弱性と対策情報を発ししているのかを理解し、自組織で活用・共有できるようになる

１章　JVNとは

---

• 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』
• 対応方法の把握
• 発見者として[脆弱性を発見]⇒[IPAに報告]
• 開発者・運営者として
• JVNポータルサイト
• メリット
• 各ベンダからの情報を一覧で収集
• 統一したフォーマットで確認できる
• デメリット
• 情報が登録されるまでに少し時間を要する
• 情報の入手先
• IPA（重要なセキュリティ情報、脆弱性情報）
• https://www.ipa.go.jp/
• 経済産業省（情報セキュリティ政策）
• https://www.meti.go.jp/policy/netsecurity/
• 総務省（国民のための情報セキュリティサイト）
• https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/
• 警察庁（サイバーポリスエージェンシー、サイバー犯罪対策プロジェクト）
• https://www.npa.go.jp/cybersecurity/
• https://www.npa.go.jp/cyber/
• JVNとは
• JPCERT/CCとIPAが共同運営する脆弱性対策情報ポータルサイト
• 情報源は「情報セキュリティ早期警戒パートナーシップ」精度とCERT/CC等の海外の調整機関と連携した脆弱性情報
• JVN iPediaとは
• 脆弱性対策情報データベース
• 国内外を問わず、情報を収集、蓄積
• JVNとiPediaの違いは脆弱性情報の収集範囲
• JVNはJPCERT/CCに届けられた情報、US-CERTのAlerts、Vulnerability Notesが掲載
• iPediaは上記に加え、日本国内に流通している製品の脆弱性情報が掲載
• ただしJVNとiPediaの情報公開が同じとは限らない

２章　JVN脆弱性レポート

---

• JVN脆弱性レポートとは、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告された脆弱性情報やCERT/CC等の海外の調整機関と連携した脆弱性情報
• 深刻度はCVSS(Common Vulnerability Scoring Sysytem）で評価
• 標準化された評価基準でベンダに依存しない
• 多数の組織が支持
• 評価方法は公開している為、だれでもCVSSスコアを評価可能
• CVSSの脆弱性評価基準
• 基本評価基準（Base Metrics）
• CVSS基本値（ベーススコア）
• ネットワークから攻撃可能かを情報セキュリティ特性のCIA（機密性、完全性、可用性）を評価し算出
• ベーススコアは固定であり、時間や利用環境の相違で変化しない
• ベンダ、脆弱性を公開する組織が評価する基準
• 現状評価基準（Temporal Metrix）
• CVSS現状値（テンポラルスコア）
• 「現在の深刻度」を評価する基準
• 攻撃コードの出現有無や対策情報が利用可能といった基準で算出
• テンポラルスコアは脆弱性への対応状況や時間経過により変化する
• ベンダ、脆弱性を評価する組織が「脆弱性の現状」を表すために評価する基準
• 環境評価基準（Environmetal Metrix）
• CVSS環境値（エンバイラメンタルスコア）
• ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価
• 脆弱性への対応状況を評価し算出
• エンバイラメンタルスコアは脆弱性に対し想定される脅威に応じてユーザごとに変化する
• ユーザが脆弱性への対応を決めるために評価する基準

３章　JVNとJVN iPediaの利用方法

---

• VN-JPは、JVN#で始まる脆弱性リスト
• VN-JP（連絡不能）は連絡が取れない製品開発者が提供したソフトウェアの中で提出された情報
• VN-VUは、JVNVU#で始まり主に海外調整機関が公開した脆弱性情報
• TAは、JVNTA#で始まり注意喚起のリスト、US-CERTが公開した注意喚起情報
• TRNotesは、脆弱性対策と変化状況をあわせて提供するリスト
• 自分でCVSSを計算できる「CVSS計算ソフトウェア」
• 検索条件、CWE（共通脆弱性タイプ一覧）はソフトウェアにおける脆弱性を識別するための基準
• CWE-IDは脆弱性の概要、攻撃の受けやすさ、脅威、脆弱性の軽減策、具体的なコーディング例、事例を管理

４章　JVNと連携する脆弱性情報aの利用方法

---

• Vulnerablility Notes Database（脆弱性ノートデータベース）
• CERT/CCの提供するソフトウェアの脆弱性データベース
• CERT/CC
• 主にネットワークに関する不正アクセス、不正プログラム、システムの脆弱性問題に関して情報を収集、分析する組織
• CVE(Common Vulnerability and Exposures）
• サイバーセキュリティの脆弱性に関する共通辞書
• 脆弱性に番号付けした「CVE識別番号」CVE ID、CVE、CVE番号等呼ばれる
• NISTのデータベース（NVD）とのリンク
• CVEは辞書であり、詳細な脆弱性情報は脆弱性DBにより提供される
• NISTの脆弱性DB NVDとリンクされている

まとめ

---

• 経営課題への対応
• 利用しているソフトウェアに脆弱性が発見された場合に備え、ポリシーで対応を定める
• 定められたポリシーに従って対応されているか監査、分析を行う
• システム等の設計・開発
• 脆弱性の深刻度について、計算方法を把握する
• 脆弱性を作り込まないために自社の開発におけるセキュアコーディングに活かす
• 運用・保守
• 公開された脆弱性に対し、ポリシーに従って対応する
• 脆弱性への対応について従業員への教育・啓発を行う
• 緊急対応
• 脆弱性によるインシデント対応の体制を用意する
• 緊急の脆弱性が発表された場合、最優先で対応する