はじめに
WebブラウザとWebアプリケーションのセキュリティについて考えてみたメモの続き。脆弱性情報の用語のまとめと、どこから脆弱性情報を収集すればよいの?についてまとめてみました。
参考
用語
脆弱性について
脆弱性とは
悪用できるバグである
脆弱性管理
- 米MITRE社(後述)が情報を収集して各脆弱性に対してCVE-IDを採番して管理
CVEとは
- 米MITRE社が提供している脆弱性情報データベース
- 脆弱性にユニークな識別番号 「CVE-ID」(CVE-登録時の西暦-通し番号の形式)がついている
海外
米MITRE(マイター)社
- サイバーセキュリティを専門とする政府系研究開発センターを運営し、米国政府への技術支援などを行っている非営利組織
- CERT/CCやHP、IBM、OSVDB、Red Hat、Symantecなど80を超える主要な脆弱性情報サイトと連携して、脆弱性情報の収集と、重複のないCVE-IDを採番、管理している
- 日本もJVNで公表する脆弱性に対するCVEの割り当てを申請しているので日本の情報も含まれているという認識
- https://cve.mitre.org/
NVD
- NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベース。NISTはMITREのスポンサー。
- CVEで命名された脆弱性情報の詳細情報をNVDで提供
- Common Vulnerability Scoring System(通称CVSS)による危険度の採点している
- https://nvd.nist.gov/
日本
JVN
- JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベース。Webサイトで公開している
- CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではなく、そのような事情に鑑みて日本の脆弱性情報に焦点を置いたものとなっている
- JVNのサイトを見るとCVEの採番されていないものもあり、それは日本特有のものなのだと思う。JVNでは日本特有の脆弱性情報も網羅している
- 日本もJVNで公表する脆弱性に対するCVEの割り当てを申請している
JVNiPedia
- JVN iPediaはJVNよりもさらに日本向け情報に特化
- Webサイト
IPA(セキュリティ)
コンピュータウイルス・不正アクセス・脆弱性について、発見および被害の届出を受け付けている。被害状況の把握だけでなく、啓発情報の発信、暗号技術の調査と評価、システムの情報セキュリティ評価・認証、情報セキュリティを高めるための技術開発・調査研究なども行っている。
JPCERT/CC
脆弱性情報に関して日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっている
まとめ
どこから脆弱性情報収集するのか?
- 各ベンダ
- MITREよりもはやい?
- NVD(海外)
- NVDはMIRTEの詳細バージョンなのでNVDをチェックする
- https://nvd.nist.gov/
- JVN(日本)
- JVNiPedia(日本)
JVNとJVNiPediaをみる。JVNiPediaは海外から(NVD)も情報を収集しているので、この2つをみることで日本、海外の脆弱性情報を網羅できるはず。
自動化する仕組みが必要。そのあたりについてはまた今度。Vulsかな?