情報処理推進機構(IPA)が発表した最新データから見る脆弱性の現状
2025年4月17日、独立行政法人情報処理推進機構(IPA)から2025年第1四半期(1月~3月)のソフトウェア等の脆弱性関連情報に関する届出状況が公表されました。このレポートには、現在の日本のサイバーセキュリティ情勢を理解する上で重要な情報が含まれています。
本記事の情報源:IPA公式サイト – ソフトウェア等の脆弱性関連情報に関する届出状況
注目すべき数字:2025年Q1の脆弱性届出状況
届出件数の全体像
2025年第1四半期の脆弱性届出は合計99件となりました。内訳は以下の通りです:
- ソフトウェア製品:81件
- ウェブアプリケーション:18件
この数字が示す重要なポイントは、今四半期ではソフトウェア製品の脆弱性がウェブアプリケーションを大幅に上回ったことです。これは近年の傾向とは異なる注目すべき変化といえるでしょう。
累計データで見る長期的トレンド
脆弱性届出受付開始(2004年7月8日)からの累計は19,385件に達しており、その内訳は:
- ソフトウェア製品:6,041件(約31%)
- ウェブサイト:13,344件(約69%)
長期的に見ると、ウェブサイトに関する脆弱性が全体の約7割を占めている状況が続いています。
修正対応の実績と課題
ソフトウェア製品の修正状況
2025年Q1において:
- JVN公表件数:37件(累計2,949件)
- 届出から公表まで45日以内:10件(27%)
- 重要インフラ事業者等への優先提供:4件
注目すべきは、37件のうち6件が製品開発者による自社製品の脆弱性届出だったことです。これは企業のセキュリティ意識の向上を示す好ましい傾向といえます。
ウェブサイトの修正完了状況
修正完了したウェブサイトは20件で、その対応方法は:
- ウェブアプリケーション修正:14件(70%)
- 該当ページ削除:6件(30%)
- 運用回避:0件(0%)
重要な指標として、通知から90日以内の修正完了率は**80%(16件/20件)**となっており、比較的良好な対応速度を示しています。
連絡不能開発者問題の現状
IPAでは連絡が取れない製品開発者を「連絡不能開発者」として管理し、段階的な情報公開を行っています。2025年Q1末時点で、連絡不能開発者の累計公表件数は251件となっています。
幸い、本四半期では新たに連絡不能開発者として公表されたケースはありませんでした。
セキュリティ担当者が知っておくべきポイント
1. ソフトウェア製品の脆弱性増加傾向
今期はソフトウェア製品の脆弱性届出がウェブアプリケーションを大幅に上回りました。企業のIT部門では、使用しているソフトウェアの脆弱性情報により注意を払う必要があります。
2. 迅速な対応の重要性
修正完了までの期間データを見ると、早期対応の重要性が浮き彫りになります。特に重要インフラ関連企業では、優先的な情報提供制度も活用されています。
3. 自社製品の積極的な検証
製品開発者による自社製品の脆弱性届出が増加していることは、プロアクティブなセキュリティ対策の重要性を示しています。
まとめ:2025年のセキュリティ対策に向けて
IPA発表の2025年Q1データは、日本のサイバーセキュリティの現状を理解する上で貴重な情報源です。特に以下の点に注目が必要です:
- ソフトウェア製品の脆弱性に対する警戒強化
- 迅速な修正対応体制の構築
- 製品開発者の責任ある情報開示の促進
企業のセキュリティ担当者は、これらのトレンドを踏まえた対策の見直しを検討することをお勧めします。
参考情報:
- 情報セキュリティ早期警戒パートナーシップについては、IPA公式サイトで詳細な情報が提供されています
- JVN(Japan Vulnerability Notes)では、公表された脆弱性情報を随時確認できます
このレポートは2025年4月17日にIPAから公表された公式データを基に作成されています。
