情報処理推進機構(IPA)は2011年4月21日、国内で使われているソフトウエアの脆弱性対策情報を収めたデータベース「JVN iPedia」に、統計情報の出力機能を追加するなどの機能強化を実施したことを発表した。
主な強化点は、(1)統計情報機能の追加、(2)新着情報を表示するツールの提供、(3)利便性の向上および国際化の推進---の3点。
まず、(1)の統計情報機能の追加では、同データベースに登録されている脆弱性対策情報を「集計期間」や「ベンダー名」「製品名」「脆弱性の種類」などを指定して絞り込み、統計表示できるようにした。これにより、「ベンダーや製品種別ごとの脆弱性の深刻度や種別の経年変化を視覚的に把握し、傾向を分析できる」(IPA)という。
例えば、1998年から2010年までの期間で、米マイクロソフトのWebブラウザー「Internet Explorer」に、「不適切な入力確認」や「クロスサイトスクリプティング」「SQLインジェクション」などの脆弱性がどのくらい見つかったかを指定して検索すると(写真1)、該当期間の統計情報がグラフおよび一覧表形式で表示される(写真2)。
(2)の新着情報を表示するツールの提供では、ユーザーがJVN iPediaの新着情報を自組織のWebページ上に自動表示できるようにするFlash製ツールの提供を開始した。一般に「ブログパーツ」などと呼ばれるもので、同ツールの説明用Webページに書かれているコードをWebページに埋め込むことで表示可能になる。
(3)の利便性の向上および国際化の推進では、「トップ画面や脆弱性対策情報の表示画面における見やすさの改善」や「検索機能の強化」、「ハードウエアやソフトウエアなどを識別するための共通の名称基準『製品識別子』情報を国際的に同期するための管理機能の強化」、「システム管理機能の強化」などを実施したという。
JVN iPediaは、国内のソフトウエア開発者、IPAとJPCERT/CCが共同で運営している脆弱性対策ポータルサイト「JVN」(Japan Vulnerability Notes)、米NIST(国立標準技術研究所)の脆弱性データベース「NVD」(National Vulnerability Database)の3者がそれぞれ公開している脆弱性対策情報から、国産あるいは国内で広く利用されているソフトウエア製品(OSやライブラリ、組込み製品なども含む)に関する情報を収集および翻訳して公開している。
2007年4月25日の公開開始当初、同データベースに登録されていた脆弱性対策情報は約3500件だったが、その後約4年間でほぼ2倍に当たる7000件弱の情報を追加。2011年3月末時点で1万211件の情報が登録されているという。
