脆弱性対策データベースとその自動化基盤　～JVN, JVN iPedia and MyJVN～

Size: px

Start display at page:

Download "脆弱性対策データベースとその自動化基盤　～JVN, JVN iPedia and MyJVN～"

しょうこわかはら
5 years ago
Views:

1 Hitachi Incident Response Team :39:35 +09'00' 脆弱性対策データベースとその自動化基盤 JVN, JVN ipedia and MyJVN 2013/09/30 寺田真敏 (株)日立製作所 Hitachi Incident Response Team Copyright Hitachi Incident Response Team All rights reserved.

2 寺田真敏自己紹介現在 ( 株 ) 日立製作所横浜研究所と Hitachi Incident Response Team に所属 2002 年年慶應義塾大学大学院理工学研究科 2004 年より JPCERT/CC 専門委員 ( 独 ) 情報処理推進機構セキュリティセンター研究員 2008 年より中央大学大学院客員講師日本シーサート協議会副運営委員長テレコムアイザック推進会議運営委員マルウェア対策研究人材育成ワークショップ (MWS) 組織委員 2004 年年中央大学研究開発機構客員研究員年 ( 社 ) 情報処理学会コンピュータセキュリティ研究会主査 Copyright Hitachi Incident Response Team All rights reserved.

3 Opening 本発表では JVN に関わることになったきっかけと X.1500(CYBEX; Overview of cybersecurity information exchange) の付録に掲載されている日本での CYBEX 活用について紹介します掲載にあたりご支援を頂いた皆様に感謝を致します Copyright Hitachi Incident Response Team All rights reserved.

5 1 プロローグ JVN: 名称の変遷 JVN: JPCERT/CC Vendor status Notes JVN: JP Vendor status Notes JVN: Japan Vulnerability Notes Copyright Hitachi Incident Response Team

6 1 プロローグ 2002 年 6 月 ~ JVN プロジェクトの開始 /02/03~2004/07/07 試行サイト運用期間 /07/08~ 本サイト運用 2002 年 6 月 JVNワーキンググループ立ち上げ 2003 年 2 月 jvn.doi.ics.keio.ac.jp 試行サイト公開 2003 年 7 月 JVNRSS 提供開始 2003 年 12 月 VN-CIAC 提供開始 2004 年 1 月 TRnotes 提供開始 2004 年 7 月 jvn.jp サイト公開 Copyright Hitachi Incident Response Team

7 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

8 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

9 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

10 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

11 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

12 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

13 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

14 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

15 1 プロローグ JVN を作ろう!! Copyright Hitachi Incident Response Team

16 1 プロローグ 2004 年 8 月 ~ 脆弱性対策機械処理基盤の検討開始 Copyright Hitachi Incident Response Team

18 2 JVN とはご存じですか? JVN JVN は Japan Vulnerability Notes の略です日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し情報セキュリティ対策に資することを目的とする脆弱性対策情報サイトです Copyright Hitachi Incident Response Team

2004 年 7 月 8 日施行の脆弱性関連情報の取扱いソフトウエア等脆弱性関連情報取扱基準に基づき運用されています国際連携のフレームワーク CERT/CC

脆弱性関連情報届出受付分析機関 ( 報告された脆弱性関連情報の内容確認検証 ) 分析支援機関調整機関 ( 公表日の決定海外の調整機関との連携など )

19 2 JVN とはご存じですか? 情報セキュリティ早期警戒パートナーシップソフトウエア等の製品やウェブサイトに見つかった脆弱性に関する情報を受け付け製品開発者に修正を促すフレームワークです 2004 年 7 月 8 日施行の脆弱性関連情報の取扱いソフトウエア等脆弱性関連情報取扱基準に基づき運用されています国際連携のフレームワーク CERT/CC CERT-FI など脆弱性関連情報通知対応状況の集約ソフトウェア等の開発者などソフトウェア等の製品に対する脆弱性システム導入支援者など公表脆弱性関連情報届出受付分析機関 ( 報告された脆弱性関連情報の内容確認検証 ) 分析支援機関調整機関 ( 公表日の決定海外の調整機関との連携など ) 公表日の調整など対応状況の集約公表日の調整など発見者ウェブサイトの脆弱性ウェブサイト運営者検証対策実施脆弱性関連情報届出脆弱性関連情報通知個人情報漏洩時は事実関係を公表ユーザ政府企業個人 Copyright Hitachi Incident Response Team

20 2 JVN とはご存じですか? JVN が 2 つの DB から構成されていること脆弱性対策情報ポータルサイト JVN( 製品開発者と調整した脆弱性対策情報をタイムリーに公開 ) と脆弱性対策情報データベース JVN ipedia( 国内で利用されている製品を対象にした脆弱性対策情報を広く蓄積 ) から構成されています情報セキュリティ早期警戒パートナーシップ CERT/CC CPNI 等日本国内製品開発者サイト JVN(JVN# ) Vulnerability Handling Coordination Database 日本語サイト情報セキュリティ早期警戒パートナーシップ案件 CERT/CC CPNI 等案件翻訳蓄積英語サイト情報セキュリティ早期警戒パートナーシップ案件 JVN ipedia(jvndb-yyyy ) Vulnerability Archiving Database 日本語サイト JVN 案件日本国内製品開発者案件蓄積翻訳英語サイト JVN 案件日本国内製品開発者案件 NVD( 英語 ) NVD Copyright Hitachi Incident Response Team

21 2 JVN とはご存じですか? JVN 脆弱性対策機械処理基盤 =(JVN+JVN ipedia) MyJVN =( 国際性 + 地域性 ) 利活用基盤バージョンチェッカセキュリティ設定チェッカ脆弱性対策情報収集ツール MyJVN JVN と JVN ipedia に登録されている脆弱性対策情報を対策実施に直結したサービスに繋げるための仕組みを提供する情報セキュリティ早期警戒パートナーシップに報告された脆弱性対策情報共通脆弱性識別子 CVE が付与されている脆弱性対策情報国内外で報告された脆弱性に対する国内製品開発者の脆弱性対策情報国内外で報告された全ての脆弱性対策情報 JVN ipedia 国内で利用されている製品を対象にした脆弱性対策情報を広く蓄積する JVN 製品開発者と調整した脆弱性対策情報をタイムリーに公開する Copyright Hitachi Incident Response Team

22 Contents 1. プロローグ 2.JVN とは 3.JVN 脆弱性対策機械処理基盤 4.JVN における CYBEX 利用 5. 仕様の概要 JVN 脆弱性対策機械処理基盤の英語表記は JVN Security Content Automation Framework です Copyright Hitachi Incident Response Team All rights reserved.

自動化などの効率的な脆弱性対策を目指すことのできる利活用基盤国際性 ( ワールドワイドに向けた脆弱性対策情報の情報源 ) と地域性 (

23 3 JVN 脆弱性対策機械処理基盤 JVN 脆弱性対策機械処理基盤 =(JVN+JVN ipedia) MyJVN =( 国際性 + 地域性 ) 利活用基盤 = MyJVN フレームワーク JVN+JVN ipedia を活用し必要とされる新たなサービスを整備できる環境 (MyJVN) を準備していくことで自動化などの効率的な脆弱性対策を目指すことのできる利活用基盤国際性 ( ワールドワイドに向けた脆弱性対策情報の情報源 ) と地域性 ( 日本国内に向けた脆弱性対策情報データベース ) を両立させたグローバルな JVN( 世界に冠たる JVN) の実現 CYBEX の活用 Copyright Hitachi Incident Response Team

24 3 JVN 脆弱性対策機械処理基盤 CYBEX: サイバーセキュリティ情報交換フレームワーク ITU-T Q.4/17: X.cybex Global Cybersecurity Information Exchange Framework 経緯 2009 年 9 月に採択され X.cybex に関する検討が発足した X.cybex の背景には 2008 年の ITU 総会決議 58( 開発途上国における CERT 構築支援 ) がある概要共通仕様を用いてグローバルかつタイムリーなサイバーセキュリティ情報の交換活用ならびに相互運用を実現するためのフレームワークを実現するため脆弱性対策情報 ( ならびにインシデント対応 ) のフォーマット番号体系などの技術仕様について標準化を進めている脆弱性対策関連 (X.xccdf X.cpe X.cce X.cve X.crf X.oval X.cwe X.cvss など ) インシデント対応関連 (X.cee X.iodef X.capec など ) の共通仕様の策定を想定している Copyright Hitachi Incident Response Team

25 3 JVN 脆弱性対策機械処理基盤 SCAP: セキュリティ設定共通化手順米国 :2002 年の FISMA( 連邦情報セキュリティマネジメント法 ) 以降 Security Automation( 機械処理可能な基盤 ) 整備に向けた活動を推進 2011 年 2010 年 2009 年 2008 年 2007 年 2006 年 2005 年 2004 年 2003 年 2002 年 2001 年 2000 年 1999 年 CM FDCC SCAP 定常的なシステム監視 Continuous Monitoring NCP 連邦政府共通デスクトップ基準 Federal Desktop Core Configuration NVD セキュリティ設定共通化手順 Security Content Automation Protocol 設定に関するチェックリスト NCP National Checklist Program 脆弱性対策データベース National Vulnerability Database Copyright Hitachi Incident Response Team

3 JVN 脆弱性対策機械処理基盤 SCAP: セキュリティ設定共通化手順米国 :2002 年の FISMA( 連邦情報セキュリティマネジメント法 ) 以降 Security Automation( 機械処理可能な基盤 ) 整備に向けた活動を推進 2011 年 2010 年 2009 年 2008 年 2007 年 2006 年 2005 年 2004 年 2003 年

26 3 JVN 脆弱性対策機械処理基盤 SCAP: セキュリティ設定共通化手順米国 :2002 年の FISMA( 連邦情報セキュリティマネジメント法 ) 以降 Security Automation( 機械処理可能な基盤 ) 整備に向けた活動を推進 2011 年 2010 年 2009 年 2008 年 2007 年 2006 年 2005 年 2004 年 2003 年 2002 年 2001 年 2000 年 1999 年 CM FDCC SCAP NCP NVD JVN の場合脆弱性対策機械処理基盤 MyJVN 脆弱性対策情報データベース JVN ipedia 脆弱性対策情報ポータルサイト JVN JVNプロジェクトの開始 (2002 年 ) Copyright Hitachi Incident Response Team

27 3 JVN 脆弱性対策機械処理基盤利活用基盤整備の取り組み (1) (JVN+JVN ipedia) をベースとした利活用 ( 機械処理 ) 基盤の整備と共通基準 / 仕様 (SCAP(CYBEX の仕様群の一部 )) の導入第 1 期立上げ期第 2 期対策情報充実期 2002 年 6 月 JVNプロジェクトの開始 2003 年 2 月 JVN 試行サイトの開設 ( 慶応義塾大 ) 2003 年 7 月 JVNRSSフォーマットによる試行配信の開始 2004 年 7 月情報セキュリティ早期警戒パートナーシップの開始 2004 年 7 月脆弱性対策情報ポータルサイト JVN 開設 2004 年 8 月利活用 ( 機械処理 ) 基盤に関する検討開始 2005 年 9 月 JVNRSSフォーマットによる配信の開始 2006 年 6 月 JVNRSS 試行サイトの開設 ( 中央大 ) 2007 年 2 月共通脆弱性評価システム (CVSS) 2007 年 3 月 MyJVN API 試行サイトの開設 ( 中央大 ) 2007 年 4 月脆弱性対策情報データベース JVN ipedia 開設 2008 年 5 月 JVN 英語サイト JVN ipedia 英語サイトの開設 2008 年 9 月共通脆弱性タイプ一覧 (CWE) CWE 互換宣言 Copyright Hitachi Incident Response Team

28 3 JVN 脆弱性対策機械処理基盤利活用基盤整備の取り組み (2) (JVN+JVN ipedia) をベースとした利活用 ( 機械処理 ) 基盤の整備と共通基準 / 仕様 (SCAP(CYBEX の仕様群の一部 )) の導入第 3 期利活用基盤整備共通基準仕様導入期 2008 年 10 月脆弱性対策情報共有フレームワーク MyJVN の開始 2008 年 10 月 MyJVN 脆弱性対策情報収集ツールのリリース 2008 年 10 月共通プラットフォーム一覧 (CPE) 2008 年 10 月共通脆弱性識別子 (CVE) 2009 年 4 月製品開発者の発信する脆弱性対策情報の自動収集の試行開始 2009 年 11 月 MyJVNバージョンチェッカのリリース 2009 年 11 月セキュリティ検査言語 (OVAL) 2009 年 12 月 MyJVNセキュリティ設定チェッカのリリース 2009 年 12 月セキュリティ設定チェックリスト記述形式 (XCCDF) 2009 年 12 月共通セキュリティ設定一覧 (CCE) 2010 年 1 月 CVE 互換取得 (JVN JVN ipedia MyJVN) 2010 年 2 月 MyJVN API 公開 2011 年 3 月 OVAL 準拠認定取得 (MyJVN) 2011 年 8 月評価結果形式 (ARF) Copyright Hitachi Incident Response Team

29 3 JVN 脆弱性対策機械処理基盤適用している仕様名称 CVE(Common Vulnerability and Exposures) 共通脆弱性識別子 CCE(Common Configuration Enumeration) 共通セキュリティ設定一覧 CPE(Common Platform Enumeration) 共通プラットフォーム一覧 CWE(Common Weakness Enumeration) 共通脆弱性タイプ一覧 CVSS(Common Vulnerability Scoring System) 共通脆弱性評価システム OVAL(Open Vulnerability and Assessment Language) セキュリティ検査言語 XCCDF(Extensible Configuration Checklist Description Format) セキュリティ設定チェックリスト記述形式 ARF(Assessment Results Format) 評価結果形式概要プログラム自身に内在するプログラム上のセキュリティ問題に一意の番号を付与する仕様プログラムが稼働するための設定上のセキュリティ問題に一意の番号を付与する仕様情報システムを構成するハードウェアソフトウェアなどに一意の名称を付与する仕様脆弱性の種類を一意に識別するために脆弱性タイプの一覧を体系化する仕様脆弱性自体の特性パッチの提供状況ユーザ環境での影響度などを考慮し影響度を評価する仕様プログラム上のセキュリティ問題や設定上のセキュリティ問題をチェックするための手続き仕様セキュリティチェックリストやベンチマークなどの文書を記述するための仕様評価結果を記述するための仕様 Copyright Hitachi Incident Response Team

30 3 JVN 脆弱性対策機械処理基盤 Making Security Measurable SCAP 関連仕様 Security Automation 米 NIST が SP (Information Security Continuous Monitoring for Federal Information Systems and Organizations) で想定する対象の仕様群 Security Automation CYBEX CYBEX( サイバーセキュリティ情報交換フレームワーク ) ITU-T で規定する仕様群 : CVE, CCE, CPE, CWE, CVSS, OVAL Making Security Measurable 米 MITRE 社で開発中の仕様群 CVE, CCE, CPE, CWE, CVSS, OVAL, ARF SCAP(Security Content Automation Protocol: セキュリティ設定共通化手順 ) 米 NIST が連邦政府向けに推進する仕様群 : CVE, CCE, CPE, CVSS, OVAL, XCCDF Copyright Hitachi Incident Response Team

31 Contents 1. プロローグ 2.JVN とは 3.JVN 脆弱性対策機械処理基盤 4.JVN における CYBEX 利用脆弱性対策情報ポータルサイト JVN 脆弱性対策情報データベース JVN ipedia CVSS 計算ソフトウェア多国語版 MyJVN API MyJVN 脆弱性対策情報収集ツール MyJVN バージョンチェッカ MyJVN セキュリティ設定チェッカ Official CPE Dictionary 連携 ( 試行 ) 5. 仕様の概要 Copyright Hitachi Incident Response Team All rights reserved.

32 4 JVN における CYBEX 利用脆弱性対策情報ポータルサイト JVN 製品開発者と調整した脆弱性対策情報をタイムリーに公開する Copyright Hitachi Incident Response Team

33 4 JVN における CYBEX 利用脆弱性対策情報データベース JVN ipedia 国内で利用されている製品を対象にした脆弱性対策情報を広く蓄積する Copyright Hitachi Incident Response Team

34 4 JVN における CYBEX 利用 CVSS 計算ソフトウェア多国語版脆弱性対策情報の利活用にあたり CVSS の普及を図る Copyright Hitachi Incident Response Team

35 4 JVN における CYBEX 利用 MyJVN API JVN ipedia を活用し新たなサービスを準備できる環境を整備する JVN ipedia の情報を Web を通じて利用するためのソフトウェアインタフェースユーザ側でのツール開発も可能 HTML HTML JVNRSS/VULDEF JVN ipedia ( 既存部 ) HTML 変換モジュール JVN DB フィルタリング型情報提供 MyJVN 脆弱性対策情報収集ツール JPCERT/CC VRDA 連携検査データ提供 MyJVN バージョンチェッカ MyJVN セキュリティ設定チェッカ XML RSS SWF JAR OVAL MyJVN API MyJVN ver1 MyJVN API モジュール MyJVN ver2 MyJVN API モジュール CPE DB OVAL DB Copyright Hitachi Incident Response Team

36 4 JVN における CYBEX 利用 MyJVN API フィルタリング型情報提供検査データ提供その他名称製品提供者一覧取得 getvendorlist 製品一覧取得 getproductlist 脆弱性対策概要情報一覧取得 getvulnoverviewlist 脆弱性対策詳細情報取得 getvulndetailinfo OVAL 定義データ一覧の取得 getovallist OVAL 定義データの取得 getovaldata XCCDF チェックリストデータ一覧の取得 getxccdflist XCCDF チェックリストデータの取得 getxccdfdata 統計データの取得 getstatistics JVN CPE Dictionary 情報の取得 getcpedictionary 概要フィルタリング条件に当てはまるベンダ名 ( 製品開発者 ) リストを取得しますフィルタリング条件に当てはまる製品名リストを取得しますフィルタリング条件に当てはまる脆弱性対策の概要情報リストを取得しますフィルタリング条件に当てはまる脆弱性対策の詳細情報を取得しますフィルタリング条件に当てはまる OVAL 定義データリストを取得します OVAL 定義データを取得します XCCDF チェックリストデータリストを取得します XCCDF チェックリストデータを取得します脆弱性対策情報を脆弱性統計情報 ) CVSS 統計情報 CWE 統計情報で集計したデータを取得します JVN CPE Dictionary 情報を取得します Copyright Hitachi Incident Response Team

4 JVN における CYBEX 利用 MyJVN 脆弱性対策情報収集ツール http://jvndb.jvn.jp/apis/myjvn/mjcheck.

CPE 名を記載した概要フォーマット JVNRSS 2.0 を活用 http://jvndb.jvn.jp/myjvn?

37 4 JVN における CYBEX 利用 MyJVN 脆弱性対策情報収集ツール製品視点から脆弱性対策情報を選別可能なフレームワークを整備する JVN ipedia の情報を利用者が効率的に活用できるように製品視点のフィルタリング条件設定機能を有した脆弱性対策情報収集ツール CPE 名を記載した概要フォーマット JVNRSS 2.0 を活用 epublic=n&rangedatepublished=n&rangedatefirstpublished=n&lang=en Copyright Hitachi Incident Response Team

4 JVN における CYBEX 利用 MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/vccheck.

38 4 JVN における CYBEX 利用 MyJVN バージョンチェッカマルチベンダ環境においてソフトウェア製品の脆弱性対策チェックのフレームワークを整備する利用者の PC にインストールされているソフトウェア製品のバージョンが最新であるかを簡単な操作で確認するツール (1) チェックリストを作成する (2) バージョンをチェックする ARF Copyright Hitachi Incident Response Team

4 JVN における CYBEX 利用 MyJVN セキュリティ設定チェッカ http://jvndb.jvn.jp/apis/myjvn/sccheck.

39 4 JVN における CYBEX 利用 MyJVN セキュリティ設定チェッカ設定に関する脆弱性対策チェックのフレームワークを整備する利用者の PC の設定を簡単な操作で確認するツール (1) チェックリストを作成する (2) 設定をチェックする ARF Copyright Hitachi Incident Response Team

4 JVN における CYBEX 利用 Official CPE Dictionary 連携 ( 試行 ) http://nvd.nist.gov/cpe.

40 4 JVN における CYBEX 利用 Official CPE Dictionary 連携 ( 試行 ) MyJVN CPE DB と米 NIST NVD CPE DB Official CPE Dictionary との連携 ( 国内製品の CPE 名日本語名の登録 ) を通して CPE 名の整合性を確保する ) NVD CPE DB MyJVN CPE DB Copyright Hitachi Incident Response Team

41 Contents 1. プロローグ 2.JVN とは 3.JVN 脆弱性対策機械処理基盤 4.JVN における CYBEX 利用 5. 仕様の概要 CVE: 脆弱性を識別する CPE: 製品を識別する CVSS: 脆弱性の深刻度を評価する CWE: 脆弱性を分類する CCE: 設定上の問題を識別する OVAL: チェック方法を記述する XCCDF: チェックリストを記述する Copyright Hitachi Incident Response Team All rights reserved.

42 5 仕様の概要 Common Vulnerability and Exposures: 共通脆弱性識別子コード上のセキュリティ問題にプログラムで ( 機械 ) 処理しやすいよう一意の番号 (CVE 識別番号 ) を付与する仕様脆弱性対策情報の参照番号としての利用脆弱性対策情報同士の関連付け CVE: 脆弱性を識別する CVE 識別番号の構成 CVE [ 西暦 ] [ 連番 ] Copyright Hitachi Incident Response Team

43 5 仕様の概要 CPE: 製品を識別する Common Platform Enumeration: 共通プラットフォーム一覧情報システムを構成するハードウェアソフトウェアの名称をプログラムで ( 機械 ) 処理しやすい形式で記述するための仕様 IPA が提供するマイジェイブイエヌ cpe:/a:ipa:myjvn cpe:/{ 種別 }:{ ベンダ名 }:{ 製品名 }:{ バージョン } :{ アップデート }:{ エディション }:{ 言語 } 種別 :h= ハードウェア o=os a= アプリケーション情報処理推進機構が提供するマイジェイブイエヌ Copyright Hitachi Incident Response Team

44 5 仕様の概要 CVSS: 脆弱性の深刻度を評価する Common Vulnerability Scoring System: 共通脆弱性評価システム脆弱性の技術的な特性 < 基本評価 > 脆弱性を取巻く状況 < 現状評価 > 利用者環境における問題の大きさ < 環境評価 > を考慮しプログラムで ( 機械 ) 処理しやすいよう深刻度を評価する仕様基本評価現状評価環境評価脆弱性の技術的な特性を評価例 : システムを乗っ取りが可能な脆弱性深刻度大例 : システムへの影響が小さく攻撃が難しい脆弱性深刻度小ある時点における脆弱性を取巻く状況を評価例 : 脆弱性を悪用する侵害活動が発生している深刻度大例 : 攻撃手法が理論上のみで正式な対策情報がある深刻度小利用者環境における問題の大きさを評価例 : 該当する脆弱性が基幹システムに存在する深刻度大例 : 該当する脆弱性は限られた環境にしか存在しない深刻度小最終的な脆弱性の深刻度 (0.0~10.0) Copyright Hitachi Incident Response Team

45 5 仕様の概要 CWE: 脆弱性を分類する Common Weakness Enumeration: 共通脆弱性タイプ一覧コード上のセキュリティ問題の種類を一意に識別するために脆弱性タイプの一覧を体系化する仕様 CWE-ID を階層構造で体系化 JVN ipedia で使用している CWE NVD で使用している CWE Copyright Hitachi Incident Response Team

46 5 仕様の概要 CCE: 設定上の問題を識別する Common Configuration Enumeration: 共通セキュリティ設定一覧設定上のセキュリティ問題にプログラムで ( 機械 ) 処理しやすいよう一意の番号 (CCE 識別番号 ) を付与する仕様 CCE 識別番号の構成番号 ( 任意 ) チェック番号 CCE チェック番号はコピー等のミスを検知するための番号 Luhnアルゴリズムを使用 < 確認手順 > (a) チェック番号込で右から偶数桁を2 倍 :1*2, 9*2 (b)9+(2)+8+(1+8)+2 * 二桁になった場合一桁目と二桁目を分割 (c)(b) の和が10で割り切れる = 正しい番号アプリケーション / プラットフォーム毎に設定一覧を用意 AIX 5.3, HP-UX 11.23, Internet Explorer 7/8, Microsoft Exchange 2007/2010, Polycom HDX 3.X, Red Hat Enterprise Linux 4/5, Sun Solaris 8/9/10, Oracle WebLogic Server 11g, Windows 2000/XP/Vista/Server 2003/Server 2008/7 セキュリティ設定項目の設定推奨値については各種セキュリティ設定ガイドを参照 Copyright Hitachi Incident Response Team

5 仕様の概要 OVAL: チェック方法を記述する http://oval.mitre.

機械 ) 処理しやすいよう XML 形式で記述する手続き仕様 OVAL を用いたチェックの流れステップ 1:OVAL 定義データ (OVAL の記述仕様に則った XML 形式の定義ファイル ) を作成する

47 5 仕様の概要 OVAL: チェック方法を記述する Open Vulnerability and Assessment Language: セキュリティ検査言語コード上のセキュリティ問題や設定上のセキュリティ問題をチェックするためにプログラムで ( 機械 ) 処理しやすいよう XML 形式で記述する手続き仕様 OVAL を用いたチェックの流れステップ 1:OVAL 定義データ (OVAL の記述仕様に則った XML 形式の定義ファイル ) を作成するステップ 2:OVAL インタプリタ (OVAL 定義データを解釈するプログラム ) で OVAL 定義データに示されている条件を満たしているかどうかを判定する OVAL 定義データ OVAL インタプリタ OVAL 定義データとシステムと対比 or Copyright Hitachi Incident Response Team

48 5 仕様の概要 XCCDF: チェックリストを記述する Extensible Configuration Checklist Description Format: セキュリティ設定チェックリスト記述形式文書で記載されたセキュリティ設定ガイドセキュリティチェックリストやベンチマークなどをプログラムで ( 機械 ) 処理しやすい XML 形式で記述するための仕様米国国立標準技術研究所 (NIST) セキュリティ設定ガイド米国国防情報システム局 (DISA) セキュリティ設定ガイド米国国家安全保障局 (NSA) セキュリティ設定ガイド XCCDF 連邦政府のセキュリティ基準ガイドの統合と個別チェック項目の参照モバイル用デスクトップ用サーバ用その他 Copyright Hitachi Incident Response Team

6 機械処理基盤の実現に向けてデータベースの連携その前にお互いを良く知ろう Oct 2012: 8th Annual IT Security Automation Conference Nov 2012: Kyoto 2012 FIRST Technical Colloquium (Future of Global Vulnerability Reporting

50 6 機械処理基盤の実現に向けてデータベースの連携その前にお互いを良く知ろう Oct 2012: 8th Annual IT Security Automation Conference Nov 2012: Kyoto 2012 FIRST Technical Colloquium (Future of Global Vulnerability Reporting Summit) Feb 2013: FIRST.org VRDX-SIG Vulnerability Reporting and Data exchange SIG Jun 2013: meeting #1 Copyright Hitachi Incident Response Team

51 Ending JVN 脆弱性対策機械処理基盤 (MyJVN フレームワーク ) では共通基準 / 仕様としての CYBEX の活用を進めながら国際性 ( ワールドワイドに向けた脆弱性対策情報の情報源 ) と地域性 ( 日本国内に向けた脆弱性対策情報データベース ) を両立させたグローバルな JVN( 世界に冠たる JVN) の実現が進められています Copyright Hitachi Incident Response Team All rights reserved.

Thank you 脆弱性対策データベースとその自動化基盤 ~JVN, JVN ipedia

Incident Response Team Copyright Hitachi

JVNにおけるSCAP活用について

JVNにおけるSCAP活用について JVN における SCAP 活用について JVN: Japan Vulnerability Notes SCAP: Security Content Automation Program 独立行政法人情報処理推進機構 (IPA) セキュリティセンター研究員 JPCERT コーディネーションセンター専門委員寺田真敏 2010 年 10 月 13 日 1 目次 1. JVN 脆弱性対策機械処理基盤 2.

脆弱性対策データベースとその自動化基盤 ～JVN, JVN iPedia and MyJVN～

脆弱性対策データベースとその自動化基盤　～JVN, JVN iPedia and MyJVN～