脆弱ぜいじゃく性せい情報じょうほうデータベース

脆弱ぜいじゃく性せい情報じょうほうデータベース（ぜいじゃくせいじょうほうデータベース）とは、脆弱ぜいじゃく性せいに関かんする情報じょうほうをデータベース化かし、広ひろく一般いっぱんに公開こうかいするためのプラットフォームである。

概要がいよう

脆弱ぜいじゃく性せい（情報じょうほう）データベースは、「脆弱ぜいじゃく性せいは全すべての情報じょうほうが詳細しょうさいにわたって一般いっぱんに公開こうかいされているべき」とするフルディスクロージャ運動うんどうの具現ぐげん化かの一ひとつである。このようなデータベースの構築こうちくによって、フルディスクロージャとしての利点りてん「設計せっけい者しゃや開発かいはつ者しゃが過去かこの失敗しっぱいから学まなぶことが可能かのう」といった点てんを補助ほじょするものとなり得える。

このようなデータベースが作成さくせいされるまでは、脆弱ぜいじゃく性せい情報じょうほうを統一とういつ的てきに扱あつかう仕組しくみは存在そんざいしておらず、せいぜい脆弱ぜいじゃく性せいを取とり扱あつかうツール（SATAN（Security Administrator's Tool for Analyzing Network）やSAINT（Security Administrator's Integrated Network Tool）といったセキュリティスキャナなど）が個別こべつに独自どくじのデータベースを保持ほじしているに留とどまっていた。脆弱ぜいじゃく性せい情報じょうほうデータベースの登場とうじょうには「セキュリティ脆弱ぜいじゃく性せいのデータベースについての研究けんきゅうワークショップ」が絡からんでいる。第だい1回かいは1996年ねんに開催かいさいされているが、それから3年ねん後ごの1999年ねん、1月がつ22日にち - 1月がつ24日にちにパデュー大学だいがくの情報じょうほう保証ほしょう教育きょういく研究けんきゅうセンター（Center for Education and Research in Information Assurance、通称つうしょうCERIAS）で第だい2回かいが開催かいさいされた時点じてんにおいても、このような脆弱ぜいじゃく性せい情報じょうほうデータベースは存在そんざいしていなかった。しかし、この第だい2回かいの開催かいさいにおいて、アメリカ政府せいふの支援しえんを受うけた非ひ営利えいり団体だんたいMITRE社しゃによって脆弱ぜいじゃく性せい情報じょうほうデータベースの具体ぐたい的てきな構築こうちくに向むけての提案ていあんが行おこなわれ、その場ばで具体ぐたい的てきな検討けんとうが行おこなわれたことをきっかけに、CVEが作成さくせいされることとなった。その後ごも、様々さまざまな形かたちや言語げんごで多種たしゅの脆弱ぜいじゃく性せい情報じょうほうデータベースが登場とうじょうしており、それらの情報じょうほうは相互そうご参照さんしょう可能かのうなものとなっている。

脆弱ぜいじゃく性せい（情報じょうほう）データベース

Common Vulnerabilities and Exposures (CVE)

MITRE社しゃが1999年ねんに前述ぜんじゅつの「セキュリティ脆弱ぜいじゃく性せいのデータベースについての研究けんきゅうワークショップ」で提案ていあんし、実現じつげん化かさせた脆弱ぜいじゃく性せい情報じょうほうデータベースである^[1]^[2]。他たの脆弱ぜいじゃく性せい情報じょうほうデータベースと異ことなり、内容ないようがベンダ依存いぞんでない（業界ぎょうかい標準ひょうじゅん名めいが用もちいられている）ことが利点りてんとして挙あげられる。なお、MITRE社しゃはCVEをデータベースではなく辞書じしょだとしている^[3]。その真意しんいは、CVEの目的もくてきは「識別しきべつ可能かのう性せいの確保かくほ＝個々ここの脆弱ぜいじゃく性せいに固有こゆうのCVE番号ばんごうを割わり当あてて、CVE番号ばんごうによって脆弱ぜいじゃく性せいを識別しきべつ可能かのうとすること」と「命名めいめい＝個々ここの脆弱ぜいじゃく性せいに（業界ぎょうかい標準ひょうじゅん的てきな）名前なまえを付つけること」であり、詳細しょうさい情報じょうほうは外部がいぶサイトや他たの脆弱ぜいじゃく性せいデータベースに任まかせるというものである。

CVEへの報告ほうこくはCVE Editorial Boardによって行おこなわれるが、報告ほうこくは「過去かこにCVE Editorial Boardへの報告ほうこくを行おこなったことがあるもの」であるか、「過去かこにCVE Editorial Boardへの報告ほうこくを行おこなったことがあるものによる仲介ちゅうかい」を必要ひつようとする。報告ほうこくが行おこなわれると、その情報じょうほうにはCAN番号ばんごう（CAN-西暦せいれき年ねん-4桁けた以上いじょうの通番つうばん）という番号ばんごうが割わり当あてられる。その後ご、報告ほうこくされた脆弱ぜいじゃく性せい情報じょうほうのCVE Editorial Boardによる評価ひょうかが終おわった後のち、CVE番号ばんごう（CVE-西暦せいれき年ねん-4桁けた以上いじょうの通番つうばん）となる。評価ひょうかの結果けっか、複数ふくすうのCAN番号ばんごうが同一どういつの脆弱ぜいじゃく性せいを示しめしているなら同おなじCVE番号ばんごうが割わり当あてられることとなり、逆ぎゃくに、1つのCAN番号ばんごうに複数ふくすうの脆弱ぜいじゃく性せいが盛もり込こまれている場合ばあいは複数ふくすうのCVE番号ばんごうが割わり当あてられることとなる。

なお、2013年ねんまでのCVE番号ばんごうは、「CVE-西暦せいれき年ねん-4桁けた通番つうばん」の形式けいしきで振ふられていたが、報告ほうこくされる脆弱ぜいじゃく性せいが増加ぞうかし、年間ねんかんで1万まん件けんを超こえて4桁けたでは足たりなくなることが確実かくじつとなったことから、2014年ねん1月がつ1日にちからは、通番つうばん部分ぶぶんが4桁けた以上いじょうと改定かいていされた^[4]。

「Common Vulnerabilities and Exposures」も参照さんしょう

ICAT Metabase (ICAT)

アメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ（National Institute of Standards and Technology、通称つうしょうNIST) が過去かこに管理かんりしていた脆弱ぜいじゃく性せい情報じょうほうデータベースである。現在げんざいは機能きのう強化きょうかされたNVDに移行いこうしている。

National Vulnerability Database (NVD)

NISTが管理かんりしている脆弱ぜいじゃく性せい情報じょうほうデータベースである。米国べいこくが2002年ねんに発表はっぴょうした「サイバーセキュリティ国家こっか戦略せんりゃく」において、「国土こくど安全あんぜん保障ほしょう局きょくは一般いっぱん市民しみんに対たいして、脆弱ぜいじゃく性せい情報じょうほうを通知つうちする義務ぎむがある」という理由りゆうによって、ICATをベースに機能きのう強化きょうかされたものとして作成さくせいされた。

NISTはMITRE/CVEのスポンサーであり、CVEで命名めいめいされた脆弱ぜいじゃく性せい情報じょうほうの詳細しょうさい情報じょうほうをNVDで提供ていきょうするという住じゅうみ分わけを行おこなっている。また、他たの脆弱ぜいじゃく性せい情報じょうほうデータベースとの違ちがいとして、共通きょうつう脆弱ぜいじゃく性せい評価ひょうかシステム Common Vulnerability Scoring System（CVSS）による危険きけん度どの採点さいてんを行おこなっている点てんが挙あげられる。NVDとCVEとの具体ぐたい的てきな違ちがいや役割やくわりについては、次つぎのように説明せつめいされている。つまり、CVEは、一般いっぱん大衆たいしゅうに公開こうかいされているサイバーセキュリティの脆弱ぜいじゃく性せいと暴露ばくろのリストであって、無料むりょうで検索けんさくや使用しよう、製品せいひん・サービスに組くみ込こむことができるものである。一方いっぽう、NVDは、CVEのリストにさらなる解析かいせきやデータベース、詳細しょうさいな検索けんさくエンジンなどを追加ついかしたものである。NVDはCVEと同期どうきしているので、CVEの更新こうしんがあると直ただちにNVDの情報じょうほうも更新こうしんが行おこなわれる^[5]。

「National Vulnerability Database」も参照さんしょう

Japan Vulnerability Notes (JVN)

JPCERT/CCと情報処理じょうほうしょり推進すいしん機構きこう（IPA）が共同きょうどうで管理かんりしている脆弱ぜいじゃく性せい情報じょうほうデータベースである。公式こうしき略称りゃくしょうはJVN。CVEの管理かんり団体だんたいが米国べいこくであるために日本にっぽんでの脆弱ぜいじゃく性せい情報じょうほうが網羅もうらされているわけではなく、そのような事情じじょうに鑑かんがみて日本にっぽんの脆弱ぜいじゃく性せい情報じょうほうに焦点しょうてんを置おいたものとなっている。

構築こうちくの検討けんとうは2002年ねんから行おこなわれており、当初とうしょは「JPCERT/CC Vendor Status Notes」の名前なまえで作成さくせいされる予定よていであった^[6]^[7]。その後ごの検討けんとうの結果けっか、「Japan vendor status notes」（この略称りゃくしょうもJVN）の名前なまえで2004年ねん7月がつより正式せいしきに運用うんようを開始かいしする。この頃ころは一般いっぱん向むけに脆弱ぜいじゃく性せい情報じょうほうを公開こうかいするものではなく、サイト管理かんり者しゃ向むけのものであった。しかし2007年ねん4月がつ25日にち、現在げんざいの名前なまえである「Japan Vulnerability Notes」に名前なまえを変かえるとともに、内容ないようも一般いっぱん向むけのものとしてリニューアル公開こうかいし、現在げんざいに至いたっている。

JVN iPedia

前述ぜんじゅつのJVNと同おなじ団体だんたいによって管理かんりされている脆弱ぜいじゃく性せい情報じょうほうデータベースである。JVNが「Japan Vulnerability Notes」と名前なまえを変かえてリニューアル公開こうかいした2007年ねん4月がつ25日にちと同日どうじつに設もうけられたものである。

JVNとJVN iPediaの大おおきな違ちがいは、脆弱ぜいじゃく性せい情報じょうほうの収集しゅうしゅう範囲はんいと公開こうかいタイミングにある^[8]。JVNの提供ていきょうする情報じょうほうの対象たいしょう範囲はんいはJPCERT/CCの活動かつどうが中心ちゅうしんとなっているものである。つまり、JPCERT/CCに届とどけられた脆弱ぜいじゃく性せい情報じょうほうに加くわえて、JPCERT/CCと協力きょうりょく関係かんけいにある他国たこくの脆弱ぜいじゃく性せい情報じょうほう管理かんり団体だんたいが提供ていきょうする情報じょうほう、CERT/CCの提供ていきょうする「Technical Cyber Security Alerts」（JPCERT/CCで言いうところのCERT advisory）や「Vulnerability Notes」、CPNI（英語えいご版ばん）の提供ていきょうする「CPNI Vulnerability Advice」が対象たいしょうとなっている。対たいして、JVN iPediaは「日々ひび発見はっけんされる脆弱ぜいじゃく性せい対策たいさく情報じょうほうを適宜てきぎ収集しゅうしゅう・蓄積ちくせき」することを目的もくてきとしており、対象たいしょう範囲はんいはJVNのものに加くわえて日本にっぽん国内こくない製品せいひん、日本にっぽんに流通りゅうつうしている製品せいひんも含ふくまれる。JVN以外いがいの情報じょうほうは、日本にっぽん国内こくないベンダーや上述じょうじゅつの#NVDから得えている。このように、JVN iPediaはJVNよりもさらに日本にっぽん向むけ情報じょうほうに特とく化かしたものと言いえる。なお、JVN iPediaはNVDから情報じょうほうを得えていることもあり、CVSSによる危険きけん度どの採点さいてんも合あわせて公開こうかいしている。

このような情報じょうほう収集しゅうしゅう範囲はんいの違ちがいから、公開こうかいタイミングも変かわってくることとなる。具体ぐたい的てきには、JVNのJPCERT/CCに届とどけられた脆弱ぜいじゃく性せい情報じょうほうとJVN iPediaに届とどけられた脆弱ぜいじゃく性せい情報じょうほうの公開こうかいタイミングは同様どうように決定けっていされ、届出とどけで者しゃや問題もんだいとされたソフトウェアのベンダーとの協議きょうぎの上うえで公開こうかい日びが決定けっていされることになる。他国たこくの脆弱ぜいじゃく性せい情報じょうほう管理かんり団体だんたいから提供ていきょうされる情報じょうほうの公開こうかいタイミングは、提供ていきょう元もとの公開こうかいと合あわせたものとなる。

Open Source Vulnerability Database (OSVDB)

オープンソースプロジェクトとして作成さくせいされた脆弱ぜいじゃく性せい情報じょうほうデータベースである。

2002年ねん8月がつに行おこなわれた「Black Hat&DEFCONカンファレンス」において構想こうそうが発表はっぴょうされ、構築こうちくされることとなった。一時いちじはプロジェクトが立たち消ぎえになりかけるものの、参加さんかメンバー一新いっしんの後のち、2004年ねん 3月31日にちに公開こうかいされた。

共通きょうつう脆弱ぜいじゃく性せい評価ひょうかシステム

共通きょうつう脆弱ぜいじゃく性せい評価ひょうかシステム Common Vulnerability Scoring Sytem（CVSS）は、情報じょうほうシステムの脆弱ぜいじゃく性せいに対たいするオープンで汎用はんよう的てきな評価ひょうか手法しゅほうであり、ベンダーに依存いぞんしない共通きょうつうの評価ひょうか方法ほうほうを提供ていきょうしている。CVSS では、基本きほん評価ひょうか基準きじゅん Base Metrics、現状げんじょう評価ひょうか基準きじゅん Temporal Metrics、環境かんきょう評価ひょうか基準きじゅん Environmental Metrics の3つの基準きじゅんで脆弱ぜいじゃく性せいを評価ひょうかする^[9]。

共通きょうつう脆弱ぜいじゃく性せいタイプ一覧いちらん

共通きょうつう脆弱ぜいじゃく性せいタイプ一覧いちらん Common Weakness Enumeration（CWE）では、多種たしゅ多様たような脆弱ぜいじゃく性せいの種類しゅるいを脆弱ぜいじゃく性せいタイプとして分類ぶんるいし、それぞれにCWE識別子しきべつし（CWE-ID）を付与ふよして階層かいそう構造こうぞうで体系たいけい化かしている。CWE は、ビュー View、カテゴリー Category、脆弱ぜいじゃく性せい Weakness、複ふく合あい要因よういん Compound Element の4種類しゅるいに分類ぶんるいされる^[10]。

脚注きゃくちゅう

[脚注きゃくちゅうの使つかい方かた]

^ 宮川みやがわ寧やすし夫おっと. “「セキュリティ脆弱ぜいじゃく性せいのデータベースについての研究けんきゅうワークショップ」参加さんか報告ほうこく”. IPA. 2009年ねん3月がつ4日にち閲覧えつらん。
^ “共通きょうつう脆弱ぜいじゃく性せい識別子しきべつしCVE概説がいせつ”. 情報処理じょうほうしょり推進すいしん機構きこう (2015年ねん7月がつ22日にち). 2023年ねん3月がつ21日にち閲覧えつらん。
^ “CVE - Avout CVE”. 2000年ねん10月がつ26日にち時点じてんのオリジナルよりアーカイブ。2009年ねん3月がつ7日にち閲覧えつらん。
^ “脆弱ぜいじゃく性せいを識別しきべつするCVE番号ばんごうの新しん体系たいけいによる採と番ばんのお知しらせ”. JPCERT/CC (2014年ねん9月がつ24日にち). 2014年ねん10月がつ15日にち閲覧えつらん。
^ https://nvd.nist.gov/general/FAQ-Sections/General-FAQs#7abed157-1ec6-45c9-9ef4-b923ae7824a7
^ “JPCERT/CC Vendor Status Notes”. 2004年ねん10月がつ11日にち時点じてんのオリジナルよりアーカイブ。2009年ねん3月がつ7日にち閲覧えつらん。
^ “JPCERT/CC Vendor Status Notes DB 構築こうちくに関かんする検討けんとう” (PDF). 2004年ねん7月がつ14日にち時点じてんのオリジナルよりアーカイブ。2009年ねん3月がつ7日にち閲覧えつらん。
^ “JVN iPedia: JVN iPediaとは？”. 2011年ねん5月がつ30日にち閲覧えつらん。
^ “共通きょうつう脆弱ぜいじゃく性せい評価ひょうかシステムCVSS v3概説がいせつ”. 情報処理じょうほうしょり推進すいしん機構きこう (2022年ねん4月がつ5日にち). 2023年ねん3月がつ21日にち閲覧えつらん。
^ “共通きょうつう脆弱ぜいじゃく性せいタイプ一覧いちらんCWE概説がいせつ”. 情報処理じょうほうしょり推進すいしん機構きこう (2018年ねん5月がつ31日にち). 2023年ねん3月がつ21日にち閲覧えつらん。

外部がいぶリンク

"Common Vulnerabilities and Exposures". 2009年ねん3月がつ7日にち閲覧えつらん。
"National Vulnerability Database". 2009年ねん3月がつ7日にち閲覧えつらん。
"Japan Vulnerability Notes". 2009年ねん3月がつ7日にち閲覧えつらん。
"JVN iPedia". 2011年ねん5月がつ30日にち閲覧えつらん。
"Open Source Vulnerability Database". 2009年ねん3月がつ7日にち閲覧えつらん。

この項目こうもくは、コンピュータに関連かんれんした書かきかけの項目こうもくです。この項目こうもくを加筆かひつ・訂正ていせいなどしてくださる協力きょうりょく者しゃを求もとめています（PJ:コンピュータ/P:コンピュータ）。

[1] 宮川みやがわ寧やすし夫おっと. “「セキュリティ脆弱ぜいじゃく性せいのデータベースについての研究けんきゅうワークショップ」参加さんか報告ほうこく”. IPA. 2009年ねん3月がつ4日にち閲覧えつらん。

[2] “共通きょうつう脆弱ぜいじゃく性せい識別子しきべつしCVE概説がいせつ”. 情報処理じょうほうしょり推進すいしん機構きこう (2015年ねん7月がつ22日にち). 2023年ねん3月がつ21日にち閲覧えつらん。

[3] “CVE - Avout CVE”. 2000年ねん10月がつ26日にち時点じてんのオリジナルよりアーカイブ。2009年ねん3月がつ7日にち閲覧えつらん。

[4] “脆弱ぜいじゃく性せいを識別しきべつするCVE番号ばんごうの新しん体系たいけいによる採と番ばんのお知しらせ”. JPCERT/CC (2014年ねん9月がつ24日にち). 2014年ねん10月がつ15日にち閲覧えつらん。

[5] ttps://nvd.nist.gov/general/FAQ-Sections/General-FAQs#7abed157-1ec6-45c9-9ef4-b923ae7824a7

[6] “JPCERT/CC Vendor Status Notes”. 2004年ねん10月がつ11日にち時点じてんのオリジナルよりアーカイブ。2009年ねん3月がつ7日にち閲覧えつらん。

[7] “JPCERT/CC Vendor Status Notes DB 構築こうちくに関かんする検討けんとう” (PDF). 2004年ねん7月がつ14日にち時点じてんのオリジナルよりアーカイブ。2009年ねん3月がつ7日にち閲覧えつらん。

[8] “JVN iPedia: JVN iPediaとは？”. 2011年ねん5月がつ30日にち閲覧えつらん。

[9] “共通きょうつう脆弱ぜいじゃく性せい評価ひょうかシステムCVSS v3概説がいせつ”. 情報処理じょうほうしょり推進すいしん機構きこう (2022年ねん4月がつ5日にち). 2023年ねん3月がつ21日にち閲覧えつらん。

[10] “共通きょうつう脆弱ぜいじゃく性せいタイプ一覧いちらんCWE概説がいせつ”. 情報処理じょうほうしょり推進すいしん機構きこう (2018年ねん5月がつ31日にち). 2023年ねん3月がつ21日にち閲覧えつらん。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

表ひょう話はなし編へん歴れき脆弱ぜいじゃく性せい、攻撃こうげき手法しゅほう、エクスプロイト
クロスサイト攻撃こうげき	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語えいご版ばん）
インジェクション攻撃こうげき (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語えいご版ばん） (CWE-113) 書式しょしき文字もじ列れつ攻撃こうげき (CWE-134)
スプーフィング攻撃こうげき	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語えいご版ばん） Eメールスプーフィング（英語えいご版ばん）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連かんれん	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語えいご版ばん） TCPシーケンス番号ばんごう予測よそく攻撃こうげきクッキーモンスター攻撃こうげき（英語えいご版ばん）
DoS攻撃こうげき	Land攻撃こうげきクリアチャネル評価ひょうか攻撃こうげき（英語えいご版ばん）
サイドチャネル攻撃こうげき	コールドブート攻撃こうげき（英語えいご版ばん） Meltdown Spectre Lazy FP state restore（英語えいご版ばん） TLBleed（英語えいご版ばん）
不適切ふてきせつな入力にゅうりょく確認かくにん (CWE-20)	バッファオーバーフロー (CWE-119、120、121等とう) Return-to-libc攻撃こうげきディレクトリトラバーサル (CWE-22)
未み分類ぶんるい	中ちゅう間あいだ者しゃ攻撃こうげき (CAPEC-94) MITB攻撃こうげき MOTS攻撃こうげき（英語えいご版ばん） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱ぜいじゃく性せい（英語えいご版ばん） Mass Assignment脆弱ぜいじゃく性せい（英語えいご版ばん）ダングリングポインタ（英語えいご版ばん） DNSリバインディング in-sessionフィッシング（英語えいご版ばん）クッキースタッフィング（英語えいご版ばん）悪魔あくまの双子ふたご攻撃こうげき IDNホモグラフ攻撃こうげきスナーフィング（英語えいご版ばん） JITスプレーイング（英語えいご版ばん）リプレイ攻撃こうげき誕生たんじょう日び攻撃こうげき CRIME KRACK Intel ME（英語えいご版ばん）の脆弱ぜいじゃく性せい
対策たいさく	OP25B Content Security Policy（英語えいご版ばん）コンテントスニッフィング（英語えいご版ばん） HTTP Strict Transport Security (HSTS) ファイアウォール侵入しんにゅう防止ぼうしシステム (IPS) 侵入しんにゅう検知けんちシステム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連かんれん項目こうもく	マルウェアセキュリティホールクラッキング脆弱ぜいじゃく性せい情報じょうほうデータベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語えいご版ばん） OWASP（英語えいご版ばん） w3af（英語えいご版ばん）隠かくれ通信つうしん路ろ（英語えいご版ばん）