コラム

脆弱性情報の管理_CVE識別番号

2010年8月17日

  ITセキュリティセンターの業務であるITセキュリティ評価のうち脆弱性評定(AVAクラス)では“公知の情報を利用して、潜在的な脆弱性を探索”することが求められています。公知の脆弱性情報のひとつとしてCVE(Common Vulnerabilities and Exposures)識別番号で規定された脆弱性情報を利用することがあります。

  CVE識別番号は、公開された脆弱性情報の同一性を確認するために米国のMITRE社(米国政府向けの技術支援や研究開発を行う非営利組織)が管理運営するものです。脆弱性情報に一意の識別番号を付与することにより脆弱性対策情報の関連性や相互参照が容易になり広く利用されています。

  図1のようにCVE識別番号管理サイトの情報提供画面を見れば必要な脆弱性情報が容易に入手できます。またここからNISTのNVD(National Vulnerability Database)ページ(図2)を参照することもできます。

CVE識別番号管理サイトの情報提供画面

図1 CVE識別番号管理サイトの情報提供画面(CVE-2010-1000の例

NISTのNVDページ画面

図2 NISTのNVDページ画面(CVE-2010-1000の例

  CVE識別番号はMITRE社のほかMITRE社が認定した採番機関CNA(CVE Numbering Authority)で発行されています。CNAは現在までに米国大手ソフトウエアベンダーなどが認定されていますが、2010年6月24日付一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)のプレスリリースによるとJPCERT/CCはMITRE社からCNAに認定されました。JPCERT/CCがCNAに認定されたのは第三者調整機関としては米国のCERT/CCに続くものです。

  JPCERT/CCがCNA に認定されたことにより以下の利便性が図られるようになるとともに、日本発の脆弱性情報を世界へ発信する脆弱性ポータルサイトになるとのことです。

  • 国内のパートナーシップや海外から報告された脆弱性関連情報に自らの判断でCVE 番号を付与できるようになります。
  • より一貫したCVE との整合性が確保されることになります。

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved