コラム
脆弱性情報の管理_CVE識別番号
ITセキュリティセンターの業務であるITセキュリティ評価のうち脆弱性評定(AVAクラス)では“公知の情報を利用して、潜在的な脆弱性を探索”することが求められています。公知の脆弱性情報のひとつとしてCVE(Common Vulnerabilities and Exposures)識別番号で規定された脆弱性情報を利用することがあります。
CVE識別番号は、公開された脆弱性情報の同一性を確認するために米国のMITRE社(米国政府向けの技術支援や研究開発を行う非営利組織)が管理運営するものです。脆弱性情報に一意の識別番号を付与することにより脆弱性対策情報の関連性や相互参照が容易になり広く利用されています。
図1のようにCVE識別番号管理サイトの情報提供画面を見れば必要な脆弱性情報が容易に入手できます。またここからNISTのNVD(National Vulnerability Database)ページ(図2)を参照することもできます。
図1 CVE識別番号管理サイトの情報提供画面(CVE-2010-1000の例)
図2 NISTのNVDページ画面(CVE-2010-1000の例)
CVE識別番号はMITRE社のほかMITRE社が認定した採番機関CNA(CVE Numbering Authority)で発行されています。CNAは現在までに米国大手ソフトウエアベンダーなどが認定されていますが、2010年6月24日付一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)のプレスリリースによるとJPCERT/CCはMITRE社からCNAに認定されました。JPCERT/CCがCNAに認定されたのは第三者調整機関としては米国のCERT/CCに続くものです。
JPCERT/CCがCNA に認定されたことにより以下の利便性が図られるようになるとともに、日本発の脆弱性情報を世界へ発信する脆弱性ポータルサイトになるとのことです。
- 国内のパートナーシップや海外から報告された脆弱性関連情報に自らの判断でCVE 番号を付与できるようになります。
- より一貫したCVE との整合性が確保されることになります。
≪参照≫
- AVAクラスについて(評価方法:CEM バージョン3.1 リリース3)
- MITRE社(米国政府向けの技術支援や研究開発を行う非営利組織)
- MITRE社のCVE説明ページ
- MITRE社のCVE List 主ページ
- MITRE社のCNA参加機関ページ
- CVE解説(IPA)
- NIST(National Institute of Standards and Technology)のNVDページ
- 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
- JPCERT/CC国内初のCANに認定(プレスリリース)
- CERT/CC(Computer Emergency Response Team/Coodination Center)