« スパム撲滅どころか… | トップページ | 「サイバー・セキュリティは優先事項」~オバマ政権 »

2009年1月27日 (火)

共通脆弱性識別子「CVE」

IPAのHPで「CVE(Common Vulnerabilities and Exposures)~一つ一つの脆弱性を識別するための共通の識別子~」が公開されています。

 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。

 脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVE識別番号を利用しています。
 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

 CVEは、1999年1月20日~22日に、アメリカのパーデュ大学で開催された2nd Workshop on Research with Security Vulnerability Databasesにおいて、脆弱性に関する情報共有のための方法としてMITRE社によって提案されました。
 現在は、米国政府が推進している情報セキュリティにかかわる技術面での自動化と標準化を実現する技術仕様SCAP(Security Content Automation Protocol)の構成要素のひとつとなっています。

 MITRE社では、CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のない採番に努めています。

 IPAとJPCERT/CCが共同で運営しているJVN、およびJVN iPedia(JVNDB)も、MITRE社と連携してCVE採番の枠組みに参加するため、JVNで公表する脆弱性に対するCVEの割り当てを申請することとし、2008年10月からはMITRE社が公表している「CVE情報源サイト」の一つとして公示されるようになりました

脆弱性に関する情報共有がグローバルに進んでいっているようですね。
ただ、個人的には他の脆弱性関係の要素「CPE」「CVSS」「CWE」(下記の参考情報)あたりの理解も不十分なので、もう一度目を通しておかないと・・・

<参考情報>
「共通プラットフォーム一覧CPE概説(2008年10月23日公開)」

「共通脆弱性評価システムCVSS v2概説(2007年6月21日公開)」

「共通脆弱性タイプ一覧CWE概説(2008年9月10日公開)」

|

« スパム撲滅どころか… | トップページ | 「サイバー・セキュリティは優先事項」~オバマ政権 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/27500322

この記事へのトラックバック一覧です: 共通脆弱性識別子「CVE」:

« スパム撲滅どころか… | トップページ | 「サイバー・セキュリティは優先事項」~オバマ政権 »