ソフトウェア脆弱性対策の効率化に向けて着手――IPAとSAMAC
脆弱性の影響を受ける製品の調査やパッチ適用などの対応作業が煩雑になっている現状を踏まえ、IPAとSAMACが情報連携による作業効率化のための取り組みに着手する。
情報処理推進機構(IPA)とソフトウェア資産管理評価認定協会(SAMAC)は3月9日、IPAの脆弱性対策情報とSAMACのソフトウェア資産管理情報のデータ連携に向けた紐付けテーブルの作成に着手すると発表した。脆弱性対応における作業負荷の軽減に向けた取り組みを本格化させる。
ソフトウェアはIT機器以外にさまざまな機器やシステムで利用されるようになり、それに伴って脆弱性問題が発覚した際に、機器やシステムの開発者、ユーザーなどが脆弱性を抱えるソフトウェアがどの場所で利用されているのか、どの修正パッチの適用するのかといった対応をする上での負担が増している。特に2014年は、OpenSSLやApache Strutsなどのオープンソースソフトウェアの脆弱性が社会的な問題になったため、IPAとSAMACは同年6月から脆弱性対策の効率化を図り、効果的に実施していくため方策について検討を重ねてきたという。
両機関では、IPAが運営する「JVN iPedia」脆弱性対策情報のデータベースとSAMACの「ソフトウェア辞書」データベースを紐付けることによって、ソフトウェア情報と脆弱性情報を一元的に管理できるようにする。しかし、それぞれのデータベースでソフトウェア表記が異なるなどの課題があるため、2016年4月以降に「SAMACソフトウェア辞書とJVN iPedia 脆弱性対策データベース連携(仮称)WG」を立ち上げ、新たに作成する「共通プラットフォーム一覧」などを利用して、それぞれのデータの紐付けを進める。
この施策のために両機関はソフトウェア管理の現状についても調査を実施。企業では特にライセンス情報やトレース情報、脆弱性情報の管理が重視され、大企業では自前もしくは外部企業のサポートを利用してソフトウェアの管理を行っているが、中小企業では担当者が可能な範囲で対応しているなどの実態が分かった。
これによりIPAは、「組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能になる」と説明している。
関連記事
サーバの脆弱性対策、8割以上が「完了まで1週間以上」も
トレンドマイクロの調査によれば、IT管理者の多くはサーバの脆弱性対応が十分にできていない状況が明るみになった。
OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず
対策を済ませたはずのWebサイトの中に、盗まれたかもしれない秘密鍵を変更せずに新しい証明書に使っているWebサイトがあることが分かった。
脆弱性攻撃の対策に工夫を――2014年上半期の脅威から読み解く傾向は?
IBMが東京のセキュリティ監視センターで観測した脅威動向によれば、脆弱性発覚から攻撃までの期間が短くなり、対応に要するスピード感が重要になっている。
「JVN iPedia」で公開の脆弱性対策情報を取得するWeb APIを活用せよ
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の8回目。JVN iPediaが公開する脆弱性対策情報を取得できるWeb APIの「MyJVN API」の使い方と活用のヒントを紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.