脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第2四半期(4月~6月)]_IPA

2022年第2四半期 脆弱性対策情報データベース JVN iPediaの登録状況
 脆弱性対策情報データベース「JVN iPedia( https://jvndb.jvn.jp/ )」は、ソフトウェア製品に関する脆弱性対策情報を2007年4月25日から日本語で公開しています。システム管理者が迅速に脆弱性対策を行えるよう、1)国内のソフトウェア開発者が公開した脆弱性対策情報、2)脆弱性対策情報ポータルサイトJVN(1)で公表した脆弱性対策情報、3)米国国立標準技術研究所NIST(2)の脆弱性データベース「NVD(*3)」が公開した脆弱性対策情報を集約、翻訳しています。

1-1. 脆弱性対策情報の登録状況
~脆弱性対策情報の登録件数の累計は143,807件~

 2022 年第 2 四半期(2022 年 4 月 1 日から 6 月 30 日まで)に JVN iPedia 日本語版へ登録した脆弱性対策情報は下表の通りとなり、2007 年 4 月 25 日に JVN iPedia の公開を開始してから本四半期までの、脆弱性対策情報の登録件数の累計は143,807件になりました(表1-1、図1-1)。
 また、JVN iPedia英語版へ登録した脆弱性対策情報は下表の通り、累計で2,447件になりました。

JVN iPediaの登録データ分類
2-1. 脆弱性の種類別件数
 図 2-1 は、2022 年第2 四半期(4 月~6 月)に JVN iPedia へ登録した脆弱性対策情報を、共通脆弱性タイプ一覧(CWE)によって分類し、件数を集計したものです。

 集計結果は件数が多い順に、CWE-79(クロスサイトスクリプティング)が285件、CWE-787(境界外書き込み)が103件、CWE-89(SQLインジェクション)が91件、CWE-416(解放済みメモリの使用)が90件、CWE-20(不適切な入力確認)が84件でした。最も件数の多かったCWE-79(クロスサイトスクリプティング)は、悪用されると偽のウェブページが表示されたり、情報が漏えいしたりするおそれがあります。

 製品開発者は、ソフトウェアの企画・設計段階から、脆弱性の低減に努めることが求められます。IPAではそのための資料やツールとして、開発者が実施すべき脆弱性対処をまとめた資料「脆弱性対処に向けた製品開発者向けガイド(4)」、開発者や運営者がセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方 (5)」や「IPAセキュア・プログラミング講座(6)」、脆弱性の仕組みを実習形式や演習機能で学ぶことができる脆弱性体験学習ツール「AppGoat(7)」などを公開しています。

https://www.ipa.go.jp/security/vuln/report/JVNiPedia2022q2.html