JVN の脆弱性識別番号について

脆弱性識別子、脆弱性識別番号については CVE が標準といえると思いますが、日本語での情報元は JVN ( Japan Vulnerability Notes ) があります。
ただ、CVE との対応がピンとこないので JPCERT/CC、IPA のサイトを確認してみました。公式サイトに表がありますが、新・旧番号体系で変わらないものもあるため、私にはいまいちよく理解できてなかったのでした。

大雑把にいうと、JVN# は8桁据え置きで、JVNVU# は6桁から8桁に増えた。VUがついてるのは他国が主導・公表した一次情報や主に海外の発見者による一次情報を元にしている。
JVN# は、海外からの報告も可能となっているが、主に国内の情報を意図していると読み取れる。脆弱性が発見されたソフトウェアの開発者と連絡が取れない場合でも公表される。

連絡とれないのに公開するのかと些か反感があったが、このような連絡不能案件は、2014年5月末時点のプレスによると全体の1割程度を占めており、脆弱性が放置されることで利用者への実害がでないようにするための取り組みと思われる。
脆弱性情報公開プロセスの脆弱性を潰したとでもいえようか。

新体系 3種類(2012年12月3日以降)

JVN# で始まる8桁の番号(例:JVN#12345678)
「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表された脆弱性情報

JVNVU# で始まる8桁の番号(例:JVNVU#12345678)
それ以外の海外調整機関や海外製品開発者との連携案件

JVNTA# から始まる8桁の番号(例:JVNTA#12345678)
調整有無に関わらず必要に応じてJPCERT/CC が発行する注意喚起

旧体系 6種類

JVN# で始まる8桁の番号(例:JVN#12345678)
「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表した脆弱性情報

JVNVU# で始まる6桁の番号(例:JVNVU#123456)
CERT/CC(米)主導で調整・公表した脆弱性情報

JVNCA で始まるNNNN-NN形式6桁の番号(例:JVNCA-1234-56)
CERT/CC(米)主導で調整・公表した旧形式の脆弱性情報

NISCC で始まる6桁の番号(例:NISCC-123456)
NISCC(現CPNI:英)主導で調整・公表した脆弱性情報

CPNI で始まる6桁の番号(例:CPNI-123456)
CPNI(英)主導で調整・公表した脆弱性情報

JVNTA で始まるNN-NNNS形式5桁の番号(例:JVNTA12-345A)
US-CERTが公表した注意喚起情報

情報元

https://jvn.jp/nav/jvnhelp.html
http://www.ipa.go.jp/about/press/20140530_2.html
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

スポンサーリンク

シェアする

フォローする

スポンサーリンク