脆弱性情報データベース

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

脆弱性情報データベース(ぜいじゃくせいじょうほうデータベース)とは、脆弱性情報をデータベース化し、一般向けに公開されているものを指す。

概要[編集]

脆弱性情報データベースは、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つである。このようなデータベースの構築によって、フルディスクロージャとしての利点「設計者や開発者が過去の失敗から学ぶことが可能」といった点を補助するものとなり得る。

このようなデータベースが作成されるまでは、脆弱性情報を統一的に扱う仕組みは存在しておらず、せいぜい脆弱性を取り扱うツール(SATAN(Security Administrator's Tool for Analyzing Network)やSAINT(Security Administrator's Integrated Network Tool)といったセキュリティスキャナなど)が個別に独自のデータベースを保持しているに留まっていた。脆弱性情報データベースの登場には「セキュリティ脆弱性のデータベースについての研究ワークショップ」が絡んでいる。第1回は1996年に開催されているが、それから3年後の1999年1月22日 - 1月24日パデュー大学の情報保証教育研究センター(Center for Education and Research in Information Assurance、通称CERIAS)で第2回が開催された時点においても、このような脆弱性情報データベースは存在していなかった。しかし、この第2回の開催において、アメリカ政府の支援を受けた非営利団体MITRE社によって脆弱性情報データベースの具体的な構築に向けての提案が行なわれ、その場で具体的な検討が行なわれたことをきっかけに、CVEが作成されることとなった。その後も、様々な形や言語で多種の脆弱性情報データベースが登場しており、それらの情報は相互参照可能なものとなっている。

脆弱性情報データベース[編集]

Common Vulnerabilities and Exposures (CVE)[編集]

MITRE社が1999年に前述の「セキュリティ脆弱性のデータベースについての研究ワークショップ」で提案し、実現化させた脆弱性情報データベースである[1]。他の脆弱性情報データベースと異なり、内容がベンダ依存でない(業界標準名が用いられている)ことが利点として挙げられる。なお、MITRE社はCVEをデータベースではなく辞書だとしている[2]。その真意は、CVEの目的は「識別可能性の確保=個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名=個々の脆弱性に(業界標準的な)名前を付けること」であり、詳細情報は外部サイトや他の脆弱性データベースに任せるというものである。

CVEへの報告はCVE Editorial Boardによって行なわれるが、報告は「過去にCVE Editorial Boardへの報告を行なったことがあるもの」であるか、「過去にCVE Editorial Boardへの報告を行なったことがあるもの」による仲介を必要とする。報告が行なわれると、その情報にはCAN番号(CAN-西暦年-4桁通番)という番号が割り当てられる。その後、報告された脆弱性情報のCVE Editorial Boardによる評価が終わった後、CVE番号(CVE-西暦年-4桁通番)となる。評価の結果、複数のCAN番号が同一の脆弱性を示しているなら同じCVE番号が割り当てられることとなり、逆に、1つのCAN番号に複数の脆弱性が盛り込まれている場合は複数のCVE番号が割り当てられることとなる。

ICAT Metabase (ICAT)[編集]

アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST) が過去に管理していた脆弱性情報データベースである。現在は機能強化されたNVDに移行している。

National Vulnerability Database (NVD)[編集]

NISTが管理している脆弱性情報データベースである。米国が2002年に発表した「サイバーセキュリティ国家戦略」において、「国土安全保障局は一般市民に対して、脆弱性情報を通知する義務がある」という理由によって、ICATをベースに機能強化されたものとして作成された。

NISTはMITRE/CVEのスポンサーであり、CVEで命名された脆弱性情報の詳細情報をNVDで提供するという住み分けを行なっている。また、他の脆弱性情報データベースとの違いとして、Common Vulnerability Scoring System(通称CVSS)による危険度の採点を行なっている点が挙げられる。

Japan Vulnerability Notes (JVN)[編集]

JPCERT/CC情報処理推進機構(IPA)が共同で管理している脆弱性情報データベースである。公式略称はJVN。CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではなく、そのような事情を鑑みて日本の脆弱性情報に焦点を置いたものとなっている。

構築の検討は2002年から行なわれており、当初は「JPCERT/CC Vendor Status Notes」の名前で作成される予定であった[3][4]。その後の検討の結果、「Japan vendor status notes」(この略称もJVN)の名前で2004年7月より正式に運用を開始する。この頃は一般向けに脆弱性情報を公開するものではなく、サイト管理者向けのものであった。しかし2007年4月25日、現在の名前である「Japan Vulnerability Notes」に名前を変えるとともに、内容も一般向けのものとしてリニューアル公開し、現在に至っている。

JVN iPedia[編集]

前述のJVNと同じ団体によって管理されている脆弱性情報データベースである。JVNが「Japan Vulnerability Notes」と名前を変えてリニューアル公開した2007年4月25日と同日に設けられたものである。

JVNとJVN iPediaの大きな違いは、脆弱性情報の収集範囲と公開タイミングにある[5]。JVNの提供する情報の対象範囲はJPCERT/CCの活動が中心となっているものである。つまり、JPCERT/CCに届けられた脆弱性情報に加えて、JPCERT/CCと協力関係にある他国の脆弱性情報管理団体が提供する情報、CERT/CCの提供する「Technical Cyber Security Alerts」(JPCERT/CCで言うところのCERT advisory)や「Vulnerability Notes」、CPNI英語版の提供する「CPNI Vulnerability Advice」が対象となっている。対して、JVN iPediaは「日々発見される脆弱性対策情報を適宜収集・蓄積」することを目的としており、対象範囲はJVNのものに加えて日本国内製品、日本に流通している製品も含まれる。JVN以外の情報は、日本国内ベンダーや上述の#NVDから得ている。このように、JVN iPediaはJVNよりもさらに日本向け情報に特化したものと言える。なお、JVN iPediaはNVDから情報を得ていることもあり、CVVSによる危険度の採点も合わせて公開している。

このような情報収集範囲の違いから、公開タイミングも変わってくることとなる。具体的には、JVNのJPCERT/CCに届けられた脆弱性情報とJVN iPediaに届けられた脆弱性情報の公開タイミングは同様に決定され、届出者や問題とされたソフトウェアのベンダーとの協議の上で公開日が決定されることになる。他国の脆弱性情報管理団体から提供される情報の公開タイミングは、提供元の公開と合わせたものとなる。

Open Source Vulnerability Database (OSVDB)[編集]

オープンソースプロジェクトとして作成された脆弱性情報データベースである。

2002年8月に行なわれた「Black Hat&DEFCONカンファレンス」において構想が発表され、構築されることとなった。一時はプロジェクトが立ち消えになりかけるものの、参加メンバー一新の後、2004年3月31日に公開された。

脚注[編集]

[ヘルプ]
  1. ^ 「セキュリティ脆弱性のデータベースについての研究ワークショップ」参加報告” (日本語). 2009年3月4日閲覧。
  2. ^ CVE - Avout CVE”. 2009年3月7日閲覧。
  3. ^ JPCERT/CC Vendor Status Notes” (日本語). 2009年3月7日閲覧。
  4. ^ JPCERT/CC Vendor Status Notes DB 構築に関する検討 (PDF)” (日本語). 2009年3月7日閲覧。
  5. ^ JVN iPedia: JVN iPediaとは?”. 2011年5月30日閲覧。

外部リンク[編集]