PR
図1 ユーザーがせっかくぜい弱性を見つけても相手にされない心配がある
図1 ユーザーがせっかくぜい弱性を見つけても相手にされない心配がある
[画像のクリックで拡大表示]
図2 JVNが公的機関として仲介することで円滑な情報公開を実現できる(イラスト:なかがわ みさこ)
図2 JVNが公的機関として仲介することで円滑な情報公開を実現できる(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]

 JVN(Japan vulnerability notes)とは,国内で使われている製品に関するぜい弱性情報を公開しているWebサイトである。ぜい弱性情報を迅速かつ公正な立場で公開するためWebサイトで,国内のセキュリティ情報を扱う2大公的機関であるIPA(情報処理推進機構)とJPCERT/CCが共同で運営している。少しでもセキュリティにかかわる人にはとても有用なサイトである。

 ネットワークを安全に利用するうえで欠かせないのが,「使用している製品に関するセキュリティ情報のチェックとアップデート作業」である。利用しているOSやアプリケーション,ネットワーク機器などのセキュリティ情報を定期的に調べ,もしバグやぜい弱性が見つかったら,パッチや修正ファイルを速やかに適用しなければならない。ただ,こうした作業は手間がかかるので,やらなくてはいけないと誰もが頭で理解していても,なかなかこまめに実践できない。とくに使っている機器の台数やアプリケーションの種類が多い企業ネットワークの場合,さまざまなベンダーのWebサイトを巡回して必要な情報を集めるだけで大変な労力を要する。そんなときにはJVNを見ると簡単に確認できる。

 JVNとはどんなものか,まずは設立の経緯から見ていこう。JVNが作られることになったきっかけは,2001~2002年ころ,ApacheやOpenSSLといった世界的に使われているサーバー・ソフトに相次いでバグが見つかったことにある。当時,こうしたバグに関するリポートは米国のCERT(Computer Emergency Response Team)などが公開し,それをJPCERT/CCが日本語に訳して提供したりしていた。しかし,海外発の情報がメインで情報不足感は否めず,国内のユーザーからは「国内製品にどれくらい影響があるのか日本語で正確な情報が知りたい」という声が寄せられていた。

 それと同時に,ぜい弱性を発見して公表するためのシステムの整備も解決すべき課題として指摘されていた。製品のバグやぜい弱性は,開発元のベンダー自身が見つけるケースもあるが,いわゆる「善意のハッカー」と呼ばれるコンピュータ技術者が見つけるケースもよくある。だが,せっかく見つけたバグの情報をハッカーが直接ベンダーに伝えようと思っても,ベンダーに担当窓口がなかったり,怪しげな人物とみなされて敵視されたり門前払いをくらったりする心配がある(図1)。だからといって,ハッカー自身がインターネットで独自に情報の公開に踏み切れば,ベンダーが対応策を準備する前にクラッカ(破壊者)に悪用される“ゼロデイ攻撃”を助長する危険が生じる。

 こうした状況を打破するには,ぜい弱性情報を発見者からいったん受け取り,中立的な立場でベンダーに伝え,対応準備が整ってから情報を公開するしくみの整備が必要となる(図2)。JVNはまさにこうしたしくみを実現するものとして設立され,2004年7月に正式に運用がスタートした。JVNでは寄せられた情報をただベンダーに伝えるだけでなく,例えばフリーソフトの場合はJVN側で環境を用意して検証するケースもある。

 実はこのJVN,2007年3月までは正式名称が「Japan vendor status notes」だった。サイトの目的自体も,主に管理者向けに情報を公開するという狭いものだった。だが,せっかく膨大な日本語のセキュリティ情報を持っているのに,対象を管理者に限定するのはもったいない話である。そこで,2007年4月にもっと幅広いユーザー向けにサイトをリニューアルし,合わせて正式名称も現在のものに変更された。