わが国における脅威となりうる脆弱性や企業の情報漏洩に対して、Chuseiken Vulnerability List（以下CVLと表記する）にデータを追加することで注意喚起を行います。

CVLは合計で３つのカテゴリに分類され、「日本企業のドメインに関する脆弱性」（CVL-Domains・CVL-D）「日本企業に関連する製品に関する脆弱性」（CVL-Products・CVL-P）「インターネットにおいて漏洩した企業情報」（CVL-Leakages・CVL-L）に分けてリスティング番号が割り当てられます。CVL番号は「CVL-TYPE-YEAR-NUMBER」のような形でユニークな値が割り当てられます。

企業の脆弱性や情報漏洩に関する情報のCVLへの追加は誰でも可能で、当サイトより申請することでCVLへの追加を行うことができます。「日本企業のドメインに関する脆弱性」と「日本企業に関連する製品に関する脆弱性」に関しましては、脆弱性の報告後、当法人にて脆弱性の再現性を確認したうえで、CVLへの追加を行います。「インターネットにおいて漏洩した企業情報」に関しましては、ダークウェブやアクターコミュニティにて情報が公開されていることを確認後、CVLへの追加を行います。いずれの情報もCVLへの追加に際しまして、報告者様の協力をお願いする場合がございますので、お知りおきください。

CVLに似たデータベースにはCVE（Common Vulnerabilities and Exposures）とJVN（Japan Vulnerability Notes）のようなものが存在します。これらの意味と位置づけは大いに異なることに留意してください。

CVEは米国のMITRE社が管理する脆弱性情報のデータベースであり、CVEは世界中のプロダクトに関する脆弱性情報を収集し、それを一元的に管理することを目的としています。詳細を確認する（https://cve.mitre.org/）また、JVN（Japan Vulnerability Notes）は日本のJPCERT/CCと独立行政法人 情報処理推進機構（IPA）が管理する脆弱性情報のデータベースです。JVNは製品やサイトの脆弱性情報を収集し、それを一元的に管理することを目的としています。詳細を確認する（https://jvn.jp/nav/jvnhelp.html）また、両者とも開発者との調整につき公開されるか否かが問われ公開されない場合もあります。

これらに対し、CVLは「脆弱性情報や漏洩情報を公表し素早い注意喚起を行う」というポリシーの元、情報のリスティングを行います。こは実際の脅威に対する防衛手段を講じることに非常に有用です。具体的にCVEやJVNと比較して、以下３点において有用です。

１）企業の製品だけでなくドメインに関しても脆弱性情報を公開します。

２）「インターネットにおいて漏洩した企業情報」に関する情報を公開します。

３）情報を追加するに当たり、該当企業への調整がなく掲載までの時間が高速です。

当法人へ報告していただいた情報は確認を行い次第、報告者様へのメールによる告知を行い、約１日後にCVLへの追加と、当サイトへの掲載および該当組織様への報告を行います。(*1)

CVLは合計で３つのカテゴリに分類され、それぞれ以下のようなフローを通じて掲載がされます。詳細につきましては以下の表をご確認ください。

報告に関しまして、メールでの報告になります。報告するドキュメントにはJSON形式を利用します。規定されたフォーマットに則り報告を行ってください。また、匿名による報告も承っております。

*1. 2024年5月27日より脆弱性開示ルールが変更されました。

報告を行う、もしくは詳細を確認する

*2. 必要に応じて検証について協力を依頼する場合があります

*3. 必要に応じて掲載サイトのデータ収集の協力を依頼する場合があります

当法人及びデータベースはMITREやIPA、JPCERT/CCとの連携を行っておりません。製品に関する脆弱性を発見し、MITREやIPAなどの機関との調整を行う場合は、報告者様にて報告をする必要があります。

ロゴガイドラインと使用原則について

中央政策研究所およびCVLなど関連サービスのロゴ、アイコンなどは、中央政策研究所の権利物です。 中央政策研究所およびCVLなど関連サービスのロゴ、アイコンなどを使用する場合は、本ガイドラインのルールに準じて使用してください。 テレビや雑誌、その他メディアで使用する場合や、ガイドラインの不明点やご質問は、コンタクト窓口からお問い合わせください。

全てのロゴデータは、データを変形 ・加工せず、そのまま使用することを原則とします。アニメーションをつけることも禁止しております。