脆弱性情報データベース
脆弱性情報データベース(ぜいじゃくせいじょうほうデータベース)とは、脆弱性に関する情報をデータベース化し、広く一般に公開するためのプラットフォームである。
概要
[編集]脆弱性(情報)データベースは、「脆弱性は全ての情報が詳細にわたって一般に公開されているべき」とするフルディスクロージャ運動の具現化の一つである。このようなデータベースの構築によって、フルディスクロージャとしての利点「設計者や開発者が過去の失敗から学ぶことが可能」といった点を補助するものとなり得る。
このようなデータベースが作成されるまでは、脆弱性情報を統一的に扱う仕組みは存在しておらず、せいぜい脆弱性を取り扱うツール(SATAN(Security Administrator's Tool for Analyzing Network)やSAINT(Security Administrator's Integrated Network Tool)といったセキュリティスキャナなど)が個別に独自のデータベースを保持しているに留まっていた。脆弱性情報データベースの登場には「セキュリティ脆弱性のデータベースについての研究ワークショップ」が絡んでいる。第1回は1996年に開催されているが、それから3年後の1999年、1月22日 - 1月24日にパデュー大学の情報保証教育研究センター(Center for Education and Research in Information Assurance、通称CERIAS)で第2回が開催された時点においても、このような脆弱性情報データベースは存在していなかった。しかし、この第2回の開催において、アメリカ政府の支援を受けた非営利団体MITRE社によって脆弱性情報データベースの具体的な構築に向けての提案が行なわれ、その場で具体的な検討が行なわれたことをきっかけに、CVEが作成されることとなった。その後も、様々な形や言語で多種の脆弱性情報データベースが登場しており、それらの情報は相互参照可能なものとなっている。
脆弱性(情報)データベース
[編集]Common Vulnerabilities and Exposures (CVE)
[編集]MITRE社が1999年に前述の「セキュリティ脆弱性のデータベースについての研究ワークショップ」で提案し、実現化させた脆弱性情報データベースである[1][2]。他の脆弱性情報データベースと異なり、内容がベンダ依存でない(業界標準名が用いられている)ことが利点として挙げられる。なお、MITRE社はCVEをデータベースではなく辞書だとしている[3]。その真意は、CVEの目的は「識別可能性の確保=個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名=個々の脆弱性に(業界標準的な)名前を付けること」であり、詳細情報は外部サイトや他の脆弱性データベースに任せるというものである。
CVEへの報告はCVE Editorial Boardによって行なわれるが、報告は「過去にCVE Editorial Boardへの報告を行なったことがあるもの」であるか、「過去にCVE Editorial Boardへの報告を行なったことがあるものによる仲介」を必要とする。報告が行なわれると、その情報にはCAN番号(CAN-西暦年-4桁以上の通番)という番号が割り当てられる。その後、報告された脆弱性情報のCVE Editorial Boardによる評価が終わった後、CVE番号(CVE-西暦年-4桁以上の通番)となる。評価の結果、複数のCAN番号が同一の脆弱性を示しているなら同じCVE番号が割り当てられることとなり、逆に、1つのCAN番号に複数の脆弱性が盛り込まれている場合は複数のCVE番号が割り当てられることとなる。
なお、2013年までのCVE番号は、「CVE-西暦年-4桁通番」の形式で振られていたが、報告される脆弱性が増加し、年間で1万件を超えて4桁では足りなくなることが確実となったことから、2014年1月1日からは、通番部分が4桁以上と改定された[4]。
ICAT Metabase (ICAT)
[編集]アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST) が過去に管理していた脆弱性情報データベースである。現在は機能強化されたNVDに移行している。
National Vulnerability Database (NVD)
[編集]NISTが管理している脆弱性情報データベースである。米国が2002年に発表した「サイバーセキュリティ国家戦略」において、「国土安全保障局は一般市民に対して、脆弱性情報を通知する義務がある」という理由によって、ICATをベースに機能強化されたものとして作成された。
NISTはMITRE/CVEのスポンサーであり、CVEで命名された脆弱性情報の詳細情報をNVDで提供するという住み分けを行なっている。また、他の脆弱性情報データベースとの違いとして、共通脆弱性評価システム Common Vulnerability Scoring System(CVSS)による危険度の採点を行なっている点が挙げられる。NVDとCVEとの具体的な違いや役割については、次のように説明されている。つまり、CVEは、一般大衆に公開されているサイバーセキュリティの脆弱性と暴露のリストであって、無料で検索や使用、製品・サービスに組み込むことができるものである。一方、NVDは、CVEのリストにさらなる解析やデータベース、詳細な検索エンジンなどを追加したものである。NVDはCVEと同期しているので、CVEの更新があると直ちにNVDの情報も更新が行われる[5]。
Japan Vulnerability Notes (JVN)
[編集]JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベースである。公式略称はJVN。CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではなく、そのような事情に鑑みて日本の脆弱性情報に焦点を置いたものとなっている。
構築の検討は2002年から行なわれており、当初は「JPCERT/CC Vendor Status Notes」の名前で作成される予定であった[6][7]。その後の検討の結果、「Japan vendor status notes」(この略称もJVN)の名前で2004年7月より正式に運用を開始する。この頃は一般向けに脆弱性情報を公開するものではなく、サイト管理者向けのものであった。しかし2007年4月25日、現在の名前である「Japan Vulnerability Notes」に名前を変えるとともに、内容も一般向けのものとしてリニューアル公開し、現在に至っている。
JVN iPedia
[編集]前述のJVNと同じ団体によって管理されている脆弱性情報データベースである。JVNが「Japan Vulnerability Notes」と名前を変えてリニューアル公開した2007年4月25日と同日に設けられたものである。
JVNとJVN iPediaの大きな違いは、脆弱性情報の収集範囲と公開タイミングにある[8]。JVNの提供する情報の対象範囲はJPCERT/CCの活動が中心となっているものである。つまり、JPCERT/CCに届けられた脆弱性情報に加えて、JPCERT/CCと協力関係にある他国の脆弱性情報管理団体が提供する情報、CERT/CCの提供する「Technical Cyber Security Alerts」(JPCERT/CCで言うところのCERT advisory)や「Vulnerability Notes」、CPNIの提供する「CPNI Vulnerability Advice」が対象となっている。対して、JVN iPediaは「日々発見される脆弱性対策情報を適宜収集・蓄積」することを目的としており、対象範囲はJVNのものに加えて日本国内製品、日本に流通している製品も含まれる。JVN以外の情報は、日本国内ベンダーや上述の#NVDから得ている。このように、JVN iPediaはJVNよりもさらに日本向け情報に特化したものと言える。なお、JVN iPediaはNVDから情報を得ていることもあり、CVSSによる危険度の採点も合わせて公開している。
このような情報収集範囲の違いから、公開タイミングも変わってくることとなる。具体的には、JVNのJPCERT/CCに届けられた脆弱性情報とJVN iPediaに届けられた脆弱性情報の公開タイミングは同様に決定され、届出者や問題とされたソフトウェアのベンダーとの協議の上で公開日が決定されることになる。他国の脆弱性情報管理団体から提供される情報の公開タイミングは、提供元の公開と合わせたものとなる。
Open Source Vulnerability Database (OSVDB)
[編集]オープンソースプロジェクトとして作成された脆弱性情報データベースである。
2002年8月に行なわれた「Black Hat&DEFCONカンファレンス」において構想が発表され、構築されることとなった。一時はプロジェクトが立ち消えになりかけるものの、参加メンバー一新の後、2004年3月31日に公開された。
共通脆弱性評価システム
[編集]共通脆弱性評価システム Common Vulnerability Scoring Sytem(CVSS)は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供している。CVSS では、基本評価基準 Base Metrics、現状評価基準 Temporal Metrics、環境評価基準 Environmental Metrics の3つの基準で脆弱性を評価する[9]。
共通脆弱性タイプ一覧
[編集]共通脆弱性タイプ一覧 Common Weakness Enumeration(CWE)では、多種多様な脆弱性の種類を脆弱性タイプとして分類し、それぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化している。CWE は、ビュー View、カテゴリー Category、脆弱性 Weakness、複合要因 Compound Element の4種類に分類される[10]。
脚注
[編集]- ^ 宮川 寧夫. “「セキュリティ脆弱性のデータベースについての研究ワークショップ」参加報告”. IPA. 2009年3月4日閲覧。
- ^ “共通脆弱性識別子CVE概説”. 情報処理推進機構 (2015年7月22日). 2023年3月21日閲覧。
- ^ “CVE - Avout CVE”. 2000年10月26日時点のオリジナルよりアーカイブ。2009年3月7日閲覧。
- ^ “脆弱性を識別するCVE番号の新体系による採番のお知らせ”. JPCERT/CC (2014年9月24日). 2014年10月15日閲覧。
- ^ https://nvd.nist.gov/general/FAQ-Sections/General-FAQs#7abed157-1ec6-45c9-9ef4-b923ae7824a7
- ^ “JPCERT/CC Vendor Status Notes”. 2004年10月11日時点のオリジナルよりアーカイブ。2009年3月7日閲覧。
- ^ “JPCERT/CC Vendor Status Notes DB 構築に関する検討” (PDF). 2004年7月14日時点のオリジナルよりアーカイブ。2009年3月7日閲覧。
- ^ “JVN iPedia: JVN iPediaとは?”. 2011年5月30日閲覧。
- ^ “共通脆弱性評価システムCVSS v3概説”. 情報処理推進機構 (2022年4月5日). 2023年3月21日閲覧。
- ^ “共通脆弱性タイプ一覧CWE概説”. 情報処理推進機構 (2018年5月31日). 2023年3月21日閲覧。
関連項目
[編集]外部リンク
[編集]- "Common Vulnerabilities and Exposures". 2009年3月7日閲覧。
- "National Vulnerability Database". 2009年3月7日閲覧。
- "Japan Vulnerability Notes". 2009年3月7日閲覧。
- "JVN iPedia". 2011年5月30日閲覧。
- "Open Source Vulnerability Database". 2009年3月7日閲覧。