以下について、どんなものがあるのか簡単にまとめておきます。

1. よく利用されている脆弱性分類体系(脆弱性の分類を提供しているところ)
2. よく利用されている脆弱性情報データベース

1. 脆弱性の分類体系

海外

• CWE
  • Common Weakness Enumeration
  • MITRE社が管理している
  • サイト
    • CWE - Common Weakness Enumeration
• WASC
  • The Web Application Security Consortium によって提供されている
  • サイト
    • The WASC Threat Classification

日本

• 特になし。

2. 脆弱性情報データベース

海外

• CVE
  • Common Vulnerabilities and Exposures
  • 発生した脆弱性に番号をつけて識別可能にするのが目的
  • MITRE社が管理している
  • 多くの組織が参加しており、いろいろな脆弱性情報がここに集められる(CERTのVulnerability Notes等も)
    • CVE - Organizations Participating
  • サイト
    • CVE - Common Vulnerabilities and Exposures (CVE)
• NVD
  • National Vulnerability Database
  • NIST (National Institute of Standards and Technology, アメリカ国立標準技術研究所)が管理している
    • NISTはMITRE/CVEのスポンサーである
  • CVEで脆弱性に番号が付けられ、NVDで詳細情報が提供される
  • CVSS (Common Vulnerability Scoring System）による危険度の採点を行なっている
  • サイト
    • NVD - Home

日本

• JVN
  • Japan Vulnerability Notes
  • JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベース
  • CERT/CC, US-CERT, CPNIからの脆弱性情報も取り入れて番号を付けている
  • サイト
    • Japan Vulnerability Notes
• JVN iPedia
  • 脆弱性情報を利用してもらうことが目的。
    • そのため情報の検索が簡単。
    • いろいろな方法でこの情報を利用することができる。MyJVNで紹介されている。
  • JVN以外に、日本国内ベンダーやNVDから脆弱性情報を得ている
  • サイト
    • JVN iPedia - 脆弱性対策情報データベース

[最終更新日: 2014年4月9日]