組織で使用するソフトウェアの脆弱性対策の効率・効果的な徹底に向けた調査報告書を公開
~JVN iPedia(*1)の脆弱性対策情報とソフトウェア資産管理情報のデータ連携に着手~
2016年3月18日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、組織で使用するソフトウェアの脆弱性対策の効率・効果的な徹底を目指した「ソフトウェア識別管理に向けた分析事業」報告書を3月9日(水)に公開しました。これをうけ、一般社団法人ソフトウェア資産管理評価認定協会(理事長:高橋 快昇 以後、SAMAC(*2))は2016年4月以降、脆弱性対策情報とソフトウェア資産管理のデータ連携に向けた紐付けテーブルの作成に着手します。
URL:http://www.ipa.go.jp/sec/reports/20160309.html
内容
ソフトウェアは今やパソコン、スマホだけなく、家電、自動車などあらゆる機器に組み込まれ、便利な機能の実現や、新たな価値を生み出しています。その一方でソフトウェアに潜む脆弱性は、組み込まれた製品を意図せぬ攻撃の標的にし、利用者にもその影響を及ぼします。また、その攻撃では多くの場合、ソフトウェアの脆弱性が悪用されています。
組織にとって業務上使用するソフトウェアの種類とその使途は多岐にわたり、その資産管理と安全な利用に向けた、脆弱性情報の掌握・対策の徹底は容易なことではありません。
2014年に発覚したOpenSSL、Apache Strutsといった広く普及しているオープンソースの脆弱性では、自組織のサーバーでの使用有無などの影響判定が困難であったため(*3)、対策の徹底を一層難しくしました。
これを受け組織が使用するソフトウェアの管理と安全な使用の一元的な管理を実現可能にするため、2014年6月にIPAではJVN iPedia が持つ脆弱性対策情報とSAMACが持つ“ソフトウェア辞書(*4)”とのデータ連携について検討に着手しました。その後、実現に向けた調査を継続していましたが、本日3月9日にこれまでの調査をまとめた報告書「ソフトウェア識別管理に向けた分析事業」を公開しました。
データ連携にあたっては各々のデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォーム一覧(CPE(*5))を使った紐付けテーブルを新たに作成します。
これが実現すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となります。
この調査報告書の公開をうけ、2016年4月以降、SAMACでは「SAMACソフトウェア辞書とJVN iPedia 脆弱性対策データベース連携(仮称)WG」を発足し、CPE付与の充実と資産管理ツールを用いた脆弱性管理の具体策について検討を開始する予定です。IPAはこのWGにおいてデータ連携の具体化の検討を支援します。
脚注
(*1) 脆弱性対策情報データベース:http://jvndb.jvn.jp/ IPAが運営している。
(*2) association of SAM Assessment & Certification :一般社団法人ソフトウェア資産管理評価認定協会
(*3) サーバーにおいて該当する脆弱性の影響を受けるコンポーネントを使用しているのか判断が難しい。
(*4) 利活用されているソフトウェアの識別情報を精査、蓄積したものでソフトウェア資産管理に活用できる。
(*5) CPE:Common Platform Enumeration
プレスリリースのダウンロード
資料のダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 寺田/斉藤
Tel: 03-5978-7527 Fax: 03-5978-7518
SAMAC 事務局 篠田
Tel: 03-5948-5871 Fax: 03-5948-5872