脆弱性データベース検討WGのご紹介
組織にとって業務上使用するソフトウェアの種類とその使途は多岐にわたり、その資産管理と安全な利用に向けた、脆弱性情報の掌握・対策の徹底は容易なことではありません。
2014 年に発覚した OpenSSL、Apache Struts といった広く普及しているオープンソースの脆弱性では、自組織のサーバーでの使用有無などの影響判定が困難であったため、対策の徹底を一層難しくしました。
これを受け組織が使用するソフトウェアの管理と安全な使用の一元的な管理を実現可能にするため、2014 年 6 月に IPAのJVN iPedia が持つ脆弱性対策情報と SAMAC が持つ“ソフトウェア辞書”とのデータ連携について検討に着手しました。
現在、データ連携にあたっては各々のデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォームを使った紐付けテーブルの必要性をICT-ISAC主催の情報共有WGにて共同で検討を進めています。
これが実現すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となります。本WGではデータ連携による新たな価値を広めていき、普及させていくことを目的として活動を行います。
脆弱性データベース検討WGメンバー一覧
| 所属組織 | 氏名 |
|---|---|
| 株式会社ディー・オー・エス | 嶋野 至剛(リーダー) |
| NECキャピタルソリューション株式会社 | 森田 聡子 |
| 独立行政法人情報処理推進機構 | 寺田 真敏 |
| 合同会社ITアセットマネジメント研究所 | 髙橋 快昇 |
脆弱性データベース検討WG活動報告
2022年度活動予定
一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
2021年度活動実績
一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
2021年度活動予定
一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
2020年度活動実績
・一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
・SAMACソフトウェア辞書のレコード追加・更新
・SAMACソフトウェア辞書へ脆弱性データベース情報を定期追加
・上記更新作業委託に伴うWG内での検収
2020年度活動予定
・一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
・SAMACソフトウェア辞書のレコード追加・更新
・SAMACソフトウェア辞書へ脆弱性データベース情報を定期追加
・上記更新作業委託に伴うWG内での検収
2019年度活動実績
・SAMACソフトウェア辞書のレコード追加・更新
・SAMACソフトウェア辞書へ脆弱性データベース情報を定期追加
・上記更新作業委託に伴うWG内での検収
2018年度活動実績
・SAMAC辞書へ脆弱性データベース情報を定期追加
・更新作業委託に伴うWG内での検収
・更新作業ロジックの定義検討
2017年度活動実績
・SAMAC辞書への脆弱性データベース情報を更新
・自動更新に向けたロジックの定義検討
・更新作業の外注契約ならびに検収の実施
・ITAM WORLD 2017での講演
2016年度活動実績
IPAの脆弱性データベースと連携したソフトウェア辞書を企業や組織へ提供していくにあたり、
サービスレベルの検討や辞書の活用法などを検討しました。
・ユーザーフォーラムWGのイベントにて連携内容を参加企業・組織へ説明/ディスカッション
・IT資産管理ツールベンダー向けに連携内容を説明/ディスカッション
・IPAとの連携ミーティングの実施
・毎月オンサイトによる定例ミーティングの実施
