ソフトウエアの 脆 弱 性 データベースと SAMAC 辞 書 2016/06/10 独 立 行 政 法 人 情 報 処 理 推 進 機 構 (IPA) 技 術 本 部 セキュリティセンター 情 報 セキュリティ 技 術 ラボラトリー 寺 田 真 敏
目 次 脆 弱 性 とは 脆 弱 性 関 連 情 報 の 収 集 JVN 脆 弱 性 対 策 機 械 処 理 基 盤 ソフトウエアの 脆 弱 性 データベースとSAMAC 辞 書 2
脆 弱 性 なんだろう? 3
最 近 脆 弱 性 という 言 葉 を 耳 にしませんか? Adobe Flash Playerの 脆 弱 性 が 多 数 報 告 され 話 題 に 他 にも セキュリティ ニュース 新 聞 から ウェブニュースから 4
脆 弱 性 とは OSやソフトウエアのセキュリティ 上 の 欠 陥 家 に 例 えると ドアの 鍵 穴 の 劣 化 鍵 そのものの 弱 さ 脆 弱 性 あると( 鍵 が 付 いていない 鍵 をかけていないのと 同 じこと) 侵 入 者 ( 攻 撃 者 )によって 家 (PC サーバ)に 容 易 に 入 られてしまうことに 5
脆 弱 性 とは 脆 弱 性 の 定 義 脆 弱 性 とは ソフトウエア 製 品 やウェブアプリケーション 等 におい て コンピュータ 不 正 アクセスやコンピュータウイルス 等 の 攻 撃 に より その 機 能 や 性 能 を 損 なう 原 因 となり 得 るセキュリティ 上 の 問 題 箇 所 ( 出 典 : 情 報 セキュリティ 早 期 警 戒 パートナーシップガイドライン) 言 い 換 えれば 攻 撃 によりシステムが 攻 略 される 可 能 性 セキュリティ 被 害 をもたらす 危 険 要 素 攻 撃 を 受 ければ 被 害 受 けなければ 無 害 6
脆 弱 性 を 取 り 巻 く 環 境 の 変 化 ~ 様 々な 分 野 に 広 がっていく 脆 弱 性 ~ デバイスのスマート 化 制 御 系 のオープン 化 により 新 たな 分 野 で 新 たな 脆 弱 性 が 発 見 され 続 けている 情 報 システム 脅 威 : 情 報 窃 取 破 壊 妨 害 メディカルデバイスの 脅 威 : 身 体 への 影 響 懸 念 制 御 系 システムの 脅 威 : 社 会 インフラへの 影 響 7
脆 弱 性 を 取 り 巻 く 脅 威 危 険 性 ~ 情 報 セキュリティ10 大 脅 威 2016~ 2015 年 において 社 会 的 影 響 が 大 きかったセキュリティ 上 の 脅 威 について 1 位 から10 位 に 順 位 付 けして 解 説 した 資 料 3 位 ランサムウェアを 使 った 詐 欺 恐 喝 脆 弱 性 を 悪 用 してPCに 感 染 した 後 ファイルを 暗 号 化 6 位 ウェブサイトの 改 ざん 脆 弱 性 を 悪 用 して 改 ざん 10 位 脆 弱 性 公 開 に 伴 う 公 知 となる 脆 弱 性 の 悪 用 増 加 公 開 された 脆 弱 性 情 報 を 基 に 攻 撃 8
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 脆 弱 性 を 取 り 巻 く 脅 威 危 険 性 ~ 脆 弱 性 の 報 告 件 数 ~ 米 国 立 標 準 技 術 研 究 所 の 脆 弱 性 データベースNVDに 登 録 さ れた2015 年 の 脆 弱 性 の 総 件 数 は6,488 件 10000 8000 6000 4000 2000 NIST(National Institute of Standards and Technology) NVD(National Vulnerability Database) 0 ウェブ 系 ソフトウェア 製 品 それ 以 外 9
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 脆 弱 性 を 取 り 巻 く 脅 威 危 険 性 ~ 脆 弱 性 の 報 告 件 数 ~ うち ウェブ 系 ソフトウエア 製 品 の 脆 弱 性 が 約 2 割 (1,319 件 ) で 内 訳 は クロスサイトスクリプティング (XSS) SQLインジ ェクションが 約 8 割 2500 2000 1500 クロスサイト リクエスト フォージェリ (CSRF) ディレクトリ トラバーサル SQLインジェクション クロスサイトスクリプティング (XSS) 1000 500 0 10
代 表 的 な 脆 弱 性 ~クロスサイトスクリプティング(XSS)~ XSSとは スクリプトをサイトに 送 り 込 み スクリプトを 含 む HTMLを 出 力 し ブラウザ 上 で 実 行 させる 攻 撃 開 発 者 が 作 り 込 みやすい 脆 弱 性 1スクリプトの 埋 め 込 み 2ウェブサイトに アクセス 攻 撃 者 脆 弱 性 のあるサイト 3スクリプトの 実 行 利 用 者 11
代 表 的 な 脆 弱 性 ~SQLインジェクション~ SQLとは データベースを 操 作 する 為 の 問 合 せ 言 語 SQL Injection = SQLの 注 入 SQLインジェクションとは 外 部 から 意 図 しないSQLを 注 入 し 不 正 にデータベースを 操 作 する 攻 撃 攻 撃 者 に 狙 われやすい 脆 弱 性 1SQLを 送 り 込 む 2 個 人 情 報 を 盗 み 出 す 12
脆 弱 性 対 策 脆 弱 性 を 放 置 すると 自 組 織 に 重 大 な 被 害 が 発 生 する 危 険 性 は 大 きくなる 彼 を 知 り 己 を 知 れば 百 戦 殆 うからず 脆 弱 性 ( 彼 )と 対 策 のための 関 連 情 報 を 知 っておくことが 適 切 な 対 応 につながる 13
情 報 収 集 に 役 立 つ キーワードについて 知 ろう 14
脆 弱 性 関 連 情 報 の 収 集 ~ 脆 弱 性 と 攻 撃 の 関 係 ~ 脆 弱 性 を 構 成 する 要 素 ( 脆 弱 性 関 連 情 報 ) < 攻 撃 方 法 > 脆 弱 性 を 悪 用 するプログラムや それらの 使 い 方 < 脆 弱 性 情 報 > 脆 弱 性 の 性 質 及 び 特 徴 を 示 す 情 報 脆 弱 性 を 攻 撃 する 攻 撃 コード (Exploit) < 検 証 方 法 > 脆 弱 性 が 存 在 することを 調 べるための 方 法 対 策 情 報 /プログラム 脆 弱 性 を 含 んだ ソフトウエア 脆 弱 性 を 除 去 する < 対 策 方 法 > 脆 弱 性 から 生 じる 問 題 を 回 避 するまたは 解 決 を 図 る 方 法 15
脆 弱 性 関 連 情 報 の 収 集 ~ 外 部 の 情 報 を 収 集 し 自 組 織 の 対 策 に 役 立 てる~ 脆 弱 性 関 連 情 報 の 収 集 とは? 脆 弱 性 対 策 の 判 断 要 素 となる 情 報 を 収 集 すること 脆 弱 性 対 策 情 報 サイト ニュースサイト 注 意 喚 起 サイト 製 品 ベンダサイト 脅 威 傾 向 システム 管 理 者 16
脆 弱 性 関 連 情 報 の 収 集 ~ 対 策 判 断 の 為 に どのような 情 報 を 掴 めば 良 いのか?~ 情 報 種 別 と 対 策 の 考 え 方 迅 速 に 対 策 を 実 施 する 為 に 判 断 材 料 となる 情 報 を 収 集 対 象 情 報 情 報 の 意 味 合 い 活 用 例 脆 弱 性 対 策 情 報 被 害 を 受 けるポテンシャル 脆 弱 性 の 深 刻 度 の 調 査 当 該 製 品 の 脆 弱 性 対 策 攻 撃 情 報 実 施 発 生 している 事 象 自 組 織 の 対 策 状 況 のチェック 攻 撃 有 無 のチェック 脅 威 傾 向 攻 撃 者 の 狙 い 傾 向 中 期 的 なセキュリティ 対 策 の 立 案 17
脆 弱 性 関 連 情 報 の 収 集 ~ 効 率 的 に 進 める 為 に 有 効 なキーワード~ 脆 弱 性 対 策 情 報 注 意 喚 起 ニュース 記 事 等 でも 使 用 されて いるキーワード 脆 弱 性 を 一 意 に 識 別 する 番 号 脆 弱 性 の 影 響 度 を 評 価 する 指 標 脆 弱 性 の 種 別 を 体 系 的 に 分 類 製 品 を 一 意 に 識 別 する 仕 様 18
CVE ~ 脆 弱 性 を 一 意 に 識 別 する 番 号 ~ Common Vulnerabilities and Exposures ( 共 通 脆 弱 性 識 別 子 ) プログラム 上 のセキュリティ 問 題 に 一 意 の 番 号 (CVE 識 別 番 号 )を 付 与 して 管 理 CVE 識 別 番 号 の 構 成 西 暦 連 番 CVE-2016-1000 CVE-2016-10000 CVE-2016-100000 CVE-2016-1000000 CVE-2012-3413 公 表 されている 脆 弱 性 に 割 り 当 てられた 識 別 番 号 で 脆 弱 性 を 一 意 に 特 定 することを 可 能 となる 19
CVSS ~ 脆 弱 性 の 影 響 度 を 評 価 する 指 標 ~ Common Vulnerability Scoring System ( 共 通 脆 弱 性 評 価 システム) 脆 弱 性 の 深 刻 度 を0.0~10.0のスコアで 評 価 CVE 番 号 CVSS 値 出 典 :http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html 20
CVSS ~ 脆 弱 性 の 影 響 度 を 評 価 する 指 標 ~ 攻 撃 状 況 やシステムの 重 要 度 を 加 味 した 脆 弱 性 の 深 刻 度 を 表 す 評 価 = 技 術 的 な 特 性 脅 威 の 大 きさ 情 報 資 産 の 価 値 = 基 本 評 価 基 準 現 状 評 価 基 準 環 境 評 価 基 準 何 が 引 き 起 こされるのか? 既 に 攻 撃 されている? 対 策 パッチは 出 ている? システムの 重 要 度 は? バッファオーバフロー 攻 撃 観 測 なし 内 部 システム = 深 刻 度 低 クロスサイトスクリプティング 攻 撃 観 測 あり 外 部 システム = 深 刻 度 高 21
CWE ~ 脆 弱 性 の 種 別 を 体 系 的 に 分 類 ~ Common Weakness Enumeration ( 共 通 脆 弱 性 タイプ 一 覧 ) 脆 弱 性 を 種 別 毎 に 分 類 ID 概 要 ID 概 要 CWE-16 環 境 設 定 CWE-189 数 値 処 理 の 問 題 CWE-20 不 適 切 な 入 力 確 認 CWE-200 情 報 漏 えい CWE-22 パス トラバーサル CWE-255 証 明 書 パスワードの 管 理 CWE-59 リンク 解 釈 の 問 題 CWE-264 認 可 権 限 アクセス 制 御 CWE-78 OSコマンドインジェクション CWE-287 不 適 切 な 認 証 CWE-79 クロスサイトスクリプティング CWE-310 暗 号 の 問 題 CWE-89 CWE-94 CWE-119 CWE-134 SQLインジェクション コード インジェクション バッファエラー 書 式 文 字 列 の 問 題 CWE-352 CWE-362 CWE-399 クロスサイトリクエスト フォージェリ 競 合 状 態 リソース 管 理 の 問 題 22
CPE ~ 製 品 を 一 意 に 識 別 する 仕 様 ~ Common Platform Enumeration ( 共 通 プラットフォーム 一 覧 ) 情 報 システムを 構 成 するハードウェア ソフトウエアの 名 称 を プロ グラムで( 機 械 ) 処 理 しやすい 形 式 で 記 述 するための 仕 様 IPAが 提 供 するマイ ジェイ ブイ エヌ cpe:/a:ipa:myjvn cpe:/{ 種 別 }:{ベンダ}:{ 製 品 }:{バージョン} :{アップデート}:{エディション}:{ 言 語 } 種 別 :h=ハードウェア o=os a=アプリケーション 情 報 処 理 推 進 機 構 が 提 供 するマイ ジェイ ブイ エヌ 23
脆 弱 性 対 策 情 報 データベース 国 内 の 状 況 は 24
脆 弱 性 対 策 情 報 サイトとは 脆 弱 性 対 策 情 報 データベース 脆 弱 性 データベースと 呼 ばれて いる 脆 弱 性 そのもの 特 性 影 響 を 受 ける 製 品 攻 撃 コード 対 策 情 報 などを 調 べたいときの 情 報 源 となる CERT/CC Vulnerability Notes Database ICS-CERT ADVISORY Japan Vulnerability Notes (JVN) JVN ipedia CERT-EU Security Advisories VulDB National Vulnerability Database (NVD) Common Vulnerabilities and Exposures (CVE) 25
脆 弱 性 対 策 情 報 サイト ~JVN~ JVN は Japan Vulnerability Notes の 略 日 本 で 使 用 されてい るソフトウエアなどの 脆 弱 性 関 連 情 報 とその 対 策 情 報 を 提 供 し 情 報 セキュ リティ 対 策 に 資 することを 目 的 とする 脆 弱 性 対 策 情 報 サイト http://jvn.jp/ http://jvndb.jvn.jp/ 26
脆 弱 性 対 策 情 報 サイト ~ 情 報 セキュリティ 早 期 警 戒 パートナーシップ~ ソフトウエア 等 の 製 品 やウェブサイトに 見 つかった 脆 弱 性 に 関 する 情 報 を 受 付 け 製 品 開 発 者 に 修 正 を 促 すフレームワーク 2004 年 7 月 8 日 施 行 の ソフトウエア 等 脆 弱 性 関 連 情 報 取 扱 基 準 に 基 づき 運 用 されている ソフトウエア 等 の 製 品 に 対 する 脆 弱 性 発 見 者 ウェブサイト の 脆 弱 性 国 際 連 携 の フレームワーク CERT/CC CERT-FI など 脆 弱 性 関 連 情 報 通 知 対 応 状 況 の 集 約 ソフトウエア 等 の 開 発 者 など システム 導 入 支 援 者 など 公 表 脆 弱 性 関 連 情 報 届 出 受 付 分 析 機 関 ( 報 告 された 脆 弱 性 関 連 情 報 の 内 容 確 認 検 証 ) 分 析 支 援 機 関 調 整 機 関 ( 公 表 日 の 決 定 海 外 の 調 整 機 関 との 連 携 など) 公 表 日 の 調 整 など 対 応 状 況 の 集 約 公 表 日 の 調 整 など ウェブサイト 運 営 者 検 証 対 策 実 施 脆 弱 性 関 連 情 報 届 出 脆 弱 性 関 連 情 報 通 知 個 人 情 報 漏 洩 時 は 事 実 関 係 を 公 表 ユーザ 政 府 企 業 個 人 27
脆 弱 性 対 策 情 報 サイト ~JVNは2つのデータベースから 構 成 している~ 脆 弱 性 対 策 情 報 ポータルサイトJVN( 製 品 開 発 者 と 調 整 した 脆 弱 性 対 策 情 報 をタイムリーに 公 開 )と 脆 弱 性 対 策 情 報 データベースJVN ipedia ( 国 内 で 利 用 されている 製 品 を 対 象 にした 脆 弱 性 対 策 情 報 を 広 く 蓄 積 )から 構 成 している 情 報 セキュリティ 早 期 警 戒 パートナーシップ CERT/CC CPNI 等 日 本 国 内 製 品 開 発 者 サイト JVN(JVN#12345678) Vulnerability Handling Coordination Database 日 本 語 サイト http://jvn.jp/ 情 報 セキュリティ 早 期 警 戒 パートナーシップ 案 件 CERT/CC CPNI 等 案 件 翻 訳 蓄 積 英 語 サイト http://jvn.jp/en/ 情 報 セキュリティ 早 期 警 戒 パートナーシップ 案 件 JVN ipedia(jvndb-yyyy-0123456) Vulnerability Archiving Database 日 本 語 サイト 英 語 サイト http://jvndb.jvn.jp/ http://jvndb.jvn.jp/en/ JVN 案 件 日 本 国 内 製 品 開 発 者 案 件 蓄 積 翻 訳 JVN 案 件 日 本 国 内 製 品 開 発 者 案 件 NVD( 英 語 ) NVD 28
脆弱性対策情報サイト JVN脆弱性対策機械処理基盤(MyJVN) JVN JVN ipediaを活用し 必要とされる新たなサービスを整備できる環 境(MyJVN)を準備していくことで 自動化などの効率的な脆弱性対策を 目指すことのできる利活用基盤のこと バージョン チェッカ セキュリティ設定 チェッカ 脆弱性対策 情報収集ツール MyJVN JVNとJVN ipediaに登録されて いる脆弱性対策情報を対策実 施に直結したサービスに繋げるた めの仕組みを提供する JVN ipedia 情報セキュリティ早期警戒 パートナーシップに報告された 脆弱性対策情報 共通脆弱性識別子CVEが 付与されている脆弱性対策情報 国内外で報告された 脆弱性に対する 国内製品開発者の 脆弱性対策情報 国内外で報告された 全ての脆弱性対策情報 国内で利用されている製品を対 象にした脆弱性対策情報を広く 蓄積する JVN 製品開発者と調整した脆弱性 対策情報をタイムリーに公開する 29
脆弱性対策情報サイト http://jvndb.jvn.jp/apis/ MyJVN API JVN ipediaの情報をウェブを通じて利用するためのソフトウエ アインタフェース JVN ipedia (既存部) HTML ユーザ側での HTML HTML JVN 変換モジュール ツール開発も可能 DB JVNRSS/VULDEF フィルタリング型情報提供 MyJVN脆弱性対策 情報収集ツール JPCERT/CC VRDA連携 検査データ提供 MyJVNバージョンチェッカ MyJVNセキュリティ設定チェッカ XML MyJVN ver1 RSS MyJVN API モジュール CPE DB SWF OVAL JAR MyJVN API MyJVN ver2 MyJVN API モジュール OVAL DB 30
ソフトウエアの 脆 弱 性 データベースと SAMAC 辞 書 ~JVN ipediaの 脆 弱 性 対 策 情 報 と ソフトウェア 資 産 管 理 情 報 のデータ 連 携 に 着 手 ~ https://www.ipa.go.jp/about/press/20160309.html 31
ソフトウエア 辞 書 とのデータ 連 携 ~2014 年 の 振 り 返 り~ 2014 年 4 月 OpenSSL 情 報 漏 えいを 許 してしまう 脆 弱 性 ~Heartbleed 問 題 ~ 2014 年 4 月 Struts: ClassLoader の 操 作 を 許 してしまう 脆 弱 性 2014 年 9 月 GNU bash の 脆 弱 性 ~shellshock 問 題 ~ 脆 弱 性 対 策 には システム 資 産 データ 機 能 に 対 する サイバーセキュリティリスクの 管 理 (リソース 把 握 管 理 )が 必 要 であることが 再 認 識 された 32
ソフトウエア辞書とのデータ連携 影響を受ける情報システムの状況 どこが影響を受けるのか? 資産管理と連携して 自組織で利用している脆弱性関連情 報を集めよう 現状評価 環境評価 影響を受ける情報 システムの状況 インターネット 時間と共に変化す る攻撃活動の状況 計算機への侵入 インターネット直結サーバ サービス運用妨害 管理サーバ イントラサーバ クライアント 基本評価 脆弱性そのものの 技術的な特性 33
ソフトウエア 辞 書 とのデータ 連 携 ~インストール 状 況 と 脆 弱 性 との 紐 付 け~ 多 くの 場 合 インストール 状 況 と 脆 弱 性 との 紐 付 けを 人 手 で 実 施 している( 資 産 管 理 と 脆 弱 性 対 策 とが 連 携 できているわけで はない) B A APP x 脆 弱 性 A 脆 弱 性 B APP y 製 品 X 製 品 Y SAMACソフトウエア 辞 書 脆 弱 性 C 脆 弱 性 対 策 情 報 データ ベース(JVN ipedia) 34
ソフトウエア 辞 書 とのデータ 連 携 ~インストール 状 況 と 脆 弱 性 との 紐 付 け~ もし インストール 状 況 を 把 握 できるソフトウエア 辞 書 と 脆 弱 性 対 策 情 報 サイト(JVN/JVN ipedia)とを 紐 付 け[ 橙 色 の 線 ] できると B A APP x インストール 状 況 と 脆 弱 性 と を 紐 付 けできる 対 策 の 効 率 化 の 可 能 性 が 広 がる 脆 弱 性 A 脆 弱 性 B APP y 製 品 X 脆 弱 性 C 製 品 Y ソフトウエア 辞 書 脆 弱 性 対 策 情 報 データ ベース(JVN ipedia) 35
ソフトウエア 辞 書 とのデータ 連 携 ~インストール 状 況 と 脆 弱 性 との 紐 付 け~ 紐 付 けとは ソフトウエア 辞 書 と 脆 弱 性 対 策 情 報 サイト(JVN/JVN ipedia)で 異 なる 名 称 で 登 録 されている 同 一 ソフトウエアを 関 連 付 けること ソフトウエア 辞 書 QQQ ソフトウエア Ver.xx YYY ソフトウエア XX 版 ZZZ ソフトウエア xx Edition 新 規 作 成 する 紐 付 けテーブル 共 通 プラットフォーム 一 覧 (CPE)リスト 両 データベース で 異 なる 名 称 で 登 録 されている 同 一 ソフトウエアを 紐 付 け JVN/JVN ipedia ソフトウエア + 脆 弱 性 対 策 情 報 #%$ ソフトウエア + 脆 弱 性 対 策 情 報!? @ ソフトウエア + 脆 弱 性 対 策 情 報 36
ソフトウエア 辞 書 とのデータ 連 携 ~SAMACソフトウエア 辞 書 ~ SAMAC( 一 般 社 団 法 人 ソフトウエア 資 産 管 理 評 価 認 定 協 会 ) が 保 守 提 供 しているインストール 状 況 を 把 握 できるデータベース インベントリ 収 集 ツールで 収 集 可 能 な[プログラムの 追 加 と 削 除 ]に 表 され ているインストール 名 称 をベースに 作 成 ソフトウエア 辞 書 に 登 録 されている 項 目 は ベンダ 名 ソフトウエア 名 エディ ション バージョン ソフトウエア 種 別 ( 有 償 ソフトウエア フリーウェア HOTFIX ドライバ ユーティリティ 等 ) 37
ソフトウエア 辞 書 とのデータ 連 携 ~ 製 品 識 別 子 CPEを 用 いた 製 品 の 紐 付 け~ Common Platform Enumeration ( 共 通 プラットフォーム 一 覧 ) 情 報 システムを 構 成 するハードウェア ソフトウエアの 名 称 を プロ グラムで( 機 械 ) 処 理 しやすい 形 式 で 記 述 するための 仕 様 MyJVN APIでは CPE v2.2をサポート cpe:/a:ipa:myjvn cpe:/{ 種 別 }:{ベンダ}:{ 製 品 }:{バージョン} :{アップデート}:{エディション}:{ 言 語 } 種 別 :h=ハードウェア o=os a=アプリケーション 38
ソフトウエア 辞 書 とのデータ 連 携 ~ 製 品 識 別 子 CPEを 用 いた 製 品 の 紐 付 け~ インストール 状 況 を 把 握 できるSAMACソフトウエア 辞 書 に 連 携 用 項 目 に 製 品 識 別 子 CPEを 用 いた 製 品 を 追 記 SAMAC ソフトウエア 辞 書 SAMACソフトウエア 辞 書 の 既 存 登 録 項 目 (9 項 目 ) 連 携 用 項 目 (1 項 目 ) sw_id sw_vendor sw_name その 他 項 目 CPE v2.2 Adobe Acrobat 8.2.0 Professional cpe:/a:adobe:acrobat Adobe Acrobat 8.2.0 Standard cpe:/a:adobe:acrobat Adobe Acrobat 8.2.1 - CPSID_50570 cpe:/a:adobe:acrobat Adobe Acrobat 8.2.1 Professional cpe:/a:adobe:acrobat Adobe Acrobat 8.2.1 Standard cpe:/a:adobe:acrobat Adobe Acrobat 9.3.0 - CPSID_52073 cpe:/a:adobe:acrobat ソフトウエアの 脆 弱 性 データベース 製 品 識 別 子 CPEを 用 いた 製 品 の 紐 付 け ソフトウエア 名 CPE v2.2 Adobe Acrobat 製 品 Y cpe:/a:adobe:acrobat cpe:/a:y:yyy JVN 製 品 データベース 脆 弱 性 A データベース 登 録 時 に 紐 付 け 済 み 脆 弱 性 B 脆 弱 性 C 39
ソフトウエア 辞 書 とのデータ 連 携 ~ 脆 弱 性 対 策 情 報 参 照 までの 流 れ~ (i)インストール 情 報 の 収 集 資 産 管 理 ツール (iii)cpeをキーとして MyJVN APIでアクセス B A APP x (ii)ソフトウェア 名 をキーとして CPEの 取 得 脆 弱 性 A 脆 弱 性 B APP y ソフトウェア 名 製 品 X CPE cpe:/a:x:xxx 脆 弱 性 C 製 品 Y cpe:/a:y:yyy SAMACソフトウェア 辞 書 脆 弱 性 対 策 情 報 サイト (JVN/JVN ipedia) 40
ソフトウエア 辞 書 とのデータ 連 携 ~ 具 体 的 な 取 り 組 み~ 短 期 的 製 品 識 別 子 CPEを 用 いた 脆 弱 性 対 策 情 報 データベース JVN ipediaとsamacソフトウェア 辞 書 との 連 携 ~JVN ipediaの 脆 弱 性 対 策 情 報 と ソフトウェア 資 産 管 理 情 報 のデータ 連 携 に 着 手 ~ https://www.ipa.go.jp/about/press/20160309.html 長 期 的 ソフトウェア 識 別 タグISO19770-2を 用 いた 資 産 管 理 と 脆 弱 性 対 策 の 連 携 41
最 後 に 日 々の 脆 弱 性 関 連 情 報 の 収 集 だけではなく 資 産 管 理 と 連 携 させた 対 策 を 進 めることで サイバーセキュリティリス クの 管 理 を 加 味 した 脆 弱 性 対 策 を 実 現 していく 必 要 があ ります JVN 脆 弱 性 対 策 機 械 処 理 基 盤 では 共 通 基 準 / 共 通 仕 様 の 活 用 データ 連 携 により これら 脆 弱 性 対 策 を 支 援 する 基 盤 の 整 備 を 進 めています 脆 弱 性 に 対 して 適 切 な 対 応 をとっていきましょう 42
参 考 情 報 ~サイバーセキュリティ 注 意 喚 起 サービス icat for JSON ~ https://www.ipa.go.jp/security/vuln/icat.html IPAが 発 信 する 重 要 なセキュリティ 情 報 を リアルタイムに 同 期 できます 社 内 のポータルサイトなどにHTMLタグを 埋 込 んでご 利 用 ください 利 用 時 に 埋 め 込 むHTMLタグ [jqueryを 使 用 していないウェブページの 場 合 ] <script type="text/javascript" src="//code.jquery.com/jquery-1.11.3.min.js"> </script> <script type="text/javascript" src="//www.ipa.go.jp/security/announce/irss/icath.js"> </script> 43