CVEメモ
脆弱性関連情報流通体制
発見者→IPA→JPCERT/CC→IPA,JPCERT/CC,JVNで公表→ユーザ企業(この時点でここで脆弱性を初めて知ることが多いと思われる)
用語について
CVEとは
- MITRE社が管理する脆弱性のユニークなID。世の中の脆弱性はこのIDが付いている
- 世の中にはCERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトがあり、MITRE社ではこれらのサイトと連携して脆弱性情報の収集と、重複のない採番
- CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではない様子
番号の付け方
- CVEでは脆弱性にユニークな識別番号 「CVE-ID」(CVE-登録時の西暦-通し番号の形式)です。
- 例
- 脆弱性「Heartbleed」は、2014年4月7日にCVE-2014-0160として発表されました。つまり、CVE-ID の構成から、2014年に0160番として登録
NIST
アメリカ国立標準技術研究所(National Institute of Standards and Technology、通称NIST) が過去に管理していた脆弱性情報データベースである。現在は機能強化されたNVDに移行している。
NVDとは
- NISTが管理している脆弱性情報データベース
- NISTはMITRE/CVEのスポンサーであり、CVEで命名された脆弱性情報の詳細情報をNVDで提供するという住み分けを行なっている。また、他の脆弱性情報データベースとの違いとして、Common Vulnerability Scoring System(通称CVSS)による危険度の採点を行なっている点が挙げられる。
JVNとは
- IPAとJPCERT/CCが共同で運営
- いち早く一般に周知することを目的に、早期警戒パートナーシップで取扱われた脆弱性関連情報や、協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載
- なのでJVNをチェックすればほぼ世の中のCVEは把握できそう
CERT/CC
- コンピュータやインターネットのセキュリティに関する研究や情報発信を行なっているアメリカの研究機関
JPCERT/CC
- 国内向けのセキュリティ関連情報の提供や各国代表CSIRTとの連携窓口となっている機関
JVN iPedia
- JVNよりもさらに日本向け情報に特化したもの
- JVN iPediaは、国内外問わず日々公開される脆弱性対策情報を収集、蓄積することを目的とした脆弱性対策情報データベースです。目的の脆弱性対策情報を容易にご利用いただくために、様々な検索機能をご用意しています。
JVN、JVN iPediaとMITRE社\
JVNとJVN iPediaの違い?
- JVN iPediaはJVNの情報に加えて、「脆弱性対策情報データベース(JVN iPedia=ジェイブイエヌ アイ・ペディア)」には日々発見される脆弱性対策情報が収録JVN iPediaは日々発見される脆弱性対策情報を蓄積することで幅広くご利用いただくことを目的としています。JVNに掲載される脆弱性対策情報のほか、国内外問わず公開された脆弱性対策情報を広く公開対象とし、データベースとして蓄積しています。
- 一方、JVNでは、いち早く一般に周知することを目的に、早期警戒パートナーシップで取扱われた脆弱性関連情報や、 協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載しています。JVNの詳細については「JVNとは?」をあわせて参照下さい。
まとめ
どこから情報収集するのか
- 日本向けのサイトになると思われる。JVN、JPCERT、JVN iPedia
- JVNが海外と連携しているので、JVNをチェックしていれば、ほぼ一般的なシステムの脆弱性運用の脆弱性チェックは網羅しているはず
脆弱性の対応
- 各ベンダーのサイトで確認する
- 基本的には、パッチや、アップデートで済むんじゃないだろうか??