ニュース
» 2016年03月09日 14時28分 UPDATE

ソフトウェア脆弱性対策の効率化に向けて着手――IPAとSAMAC

脆弱性の影響を受ける製品の調査やパッチ適用などの対応作業が煩雑になっている現状を踏まえ、IPAとSAMACが情報連携による作業効率化のための取り組みに着手する。

[ITmedia]

 情報処理推進機構(IPA)とソフトウェア資産管理評価認定協会(SAMAC)は3月9日、IPAの脆弱性対策情報とSAMACのソフトウェア資産管理情報のデータ連携に向けた紐付けテーブルの作成に着手すると発表した。脆弱性対応における作業負荷の軽減に向けた取り組みを本格化させる。

 ソフトウェアはIT機器以外にさまざまな機器やシステムで利用されるようになり、それに伴って脆弱性問題が発覚した際に、機器やシステムの開発者、ユーザーなどが脆弱性を抱えるソフトウェアがどの場所で利用されているのか、どの修正パッチの適用するのかといった対応をする上での負担が増している。特に2014年は、OpenSSLやApache Strutsなどのオープンソースソフトウェアの脆弱性が社会的な問題になったため、IPAとSAMACは同年6月から脆弱性対策の効率化を図り、効果的に実施していくため方策について検討を重ねてきたという。

ipa030902.jpg 現状では脆弱性情報とソフトウェア情報を手作業で付き合わせながら対応しないといけない(IPA報告書より)

 両機関では、IPAが運営する「JVN iPedia」脆弱性対策情報のデータベースとSAMACの「ソフトウェア辞書」データベースを紐付けることによって、ソフトウェア情報と脆弱性情報を一元的に管理できるようにする。しかし、それぞれのデータベースでソフトウェア表記が異なるなどの課題があるため、2016年4月以降に「SAMACソフトウェア辞書とJVN iPedia 脆弱性対策データベース連携(仮称)WG」を立ち上げ、新たに作成する「共通プラットフォーム一覧」などを利用して、それぞれのデータの紐付けを進める。

ipa030901.jpg データ連携のイメージ(IPA資料より)

 この施策のために両機関はソフトウェア管理の現状についても調査を実施。企業では特にライセンス情報やトレース情報、脆弱性情報の管理が重視され、大企業では自前もしくは外部企業のサポートを利用してソフトウェアの管理を行っているが、中小企業では担当者が可能な範囲で対応しているなどの実態が分かった。

 これによりIPAは、「組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能になる」と説明している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -