ラックが、IPAの「脆弱性対策情報データベース」の機能強化を支援しました

近年、サイバー攻撃が多様化、巧妙化するなか、ラックは独立行政法人 情報処理推進機構（IPA）が提供している「脆弱性対策情報データベース JVN iPedia」、「脆弱性対策情報共有フレームワーク MyJVN」のリニューアル（2018年2月21日公開）に携わりました。
ここではどのような機能強化が行われたかをご紹介します。

「JVN iPedia」（ジェイブイエヌ アイ・ペディア）は、国内外のソフトウェアに関する脆弱性対策情報を日本語で閲覧するためのサービスで、2007年から公開されています。また2009年からは、その情報を利用者が有効活用するための共有フレームワークとして「MyJVN」（マイジェイブイエヌ）が公開されています。

JVN iPediaに公開される脆弱性対策情報の登録件数は年々増加しており、システム管理者や製品開発者は、その情報を機械的に収集し、脆弱性対策を行なっていく必要があります。

しかし、前回システムの更新が行われた2014年以降、脆弱性を悪用した標的型攻撃によるウェブサイト改ざんや、金銭目的の攻撃など、情報セキュリティに対する脅威は拡大の一途をたどっています。それにより、登録される情報量も増加する一方で、システムの検索精度や応答速度の低下が問題になっていました。
そこで今回のリニューアルでは、こうした問題を解決し、JVN iPediaに蓄積されている脆弱性対策情報をより有効に活用できるよう、機能拡充を実施しました。その主な改善点は以下の通りです。

（１）データベース（DB）構造の見直しによるパフォーマンス向上

従来のシステムのDB構造はテーブル数が多く煩雑化しているため、原因分析を実施し、DBの一元化および正規化の見直しを行うことで、サーバリソースの最適化を図りました。 これにより製品情報、ベンダ情報、脆弱性情報の登録・参照処理におけるパフォーマンスがさらに向上し、より多くの情報提供が期待できます。またSSL暗号化により、日々増加する脆弱性対策情報の安全な利活用が可能となります。

（２）データクレンジング（整理）によるデータ品質の向上

長期間の運用によって生じる異常データ、複雑データにより、データ不整合のリスクが潜在化していました。今回の更新において、膨大な製品マスタ情報（従来データは約27,000件）、脆弱性対策情報（従来データは約65,000件）についてデータクレンジングを実施し、データの整合性を担保しました。これにより、正確で、多様なデータ利活用が期待されます。

（３）システム運用者向けの管理機能の拡充

運用管理負荷の軽減のため、システム運用者向けの管理機能を拡充するとともに、拡張が容易なハイパーコンバージドインフラ^※ を導入しました。

• ※ハイパーコンバージドインフラストラクチャ（HCI）は、汎用的なx86サーバにネットワークやストレージなどの仮想化インフラ機能を統合し、シンプルな構成を実現したITインフラです。

サイバー犯罪等の高度化に比例してセキュリティ対策も多様化・複雑化しており、対策の負荷増大が多くの企業や官公庁・自治体に共通する課題となっています。負荷軽減を目的とした環境整備が求められるなか、今回のJVN iPediaの機能強化が、脆弱性対策支援ツール等の開発促進に寄与することを期待しています。