統合型セキュリティアプライアンスの良きパートナー、民間セキュリティ機関の関係：ネットワーク／セキュリティアプライアンス導入計画（2/2 ページ）

[ITmedia]

ベンダー主催の民間セキュリティ機関と製品の関係

　これらの機関のなかでも特に著名なのが、ISSが運営する「X-Force」である。X-Forceは、インターネット上の脅威と脆弱点の重大度を識別、査定し、リアルタイムに発生するインシデントも監視。他のセキュリティ機関やベンダー、政府などと情報共有を行いながら、「X-Force Database」というデータベースにまとめて情報提供を行っている。米国の調査会社、フロスト＆サリバンが2005年に発表した調査レポートによると、高危険度で影響が大きいセキュリティ脆弱性の50％以上が、ISSのX-Forceによって発見されたものだという。

　こうした民間セキュリティ機関で蓄積されたノウハウは、製品開発にも応用されている。例えばISSでは、X-Forceの研究成果を基に、未知のウイルスやワームに対応する「VPS（ウイルス プリベンション システム）」を開発。自社製品に組み込んでいる。

　民間セキュリティ機関で発見された脆弱性は、脆弱性の対象になる製品（OSなど）のメーカーに連絡を行う。製品メーカーは製品に脆弱性に対する対応を行ったあと、脆弱性の存在を公表する。こうしなければ対策が施されていないにもかかわらず脆弱性の存在が周知のものになってしまうからだ。しかし、セキュリティ機関の脆弱性発見から製品メーカー対策の完了までに悪意のあるユーザーが脆弱性を発見してしまうことがないとは言い切れない。

　このため、製品ベンダーの運営するセキュリティ機関では製品メーカーに脆弱性を通知するとともに、自社のセキュリティ対策製品にその脆弱性に対する対策を組み込む。こうすることで、より脆弱性に対しての安全性が高まることになる。