バージニア州アーリントン発--米国土安全保障省(DHS)の資金提供による、セキュリティ関連バグを収録する標準的な「辞書」を作成する計画が形になりつつある。同計画の推進メンバーが米国時間3月1日に発表した。
この取り組みは「Common Weakness Enumeration(CWE)」と名付けられ、バッファオーバーフローや書式指定文字列のエラーなど、ソフトウェア脆弱性の正式なリストの作成を目指している。現在使われているソフトウェア脆弱性の用語は、多くのテクノロジ企業やセキュリティ企業によって異なるが、このリストが標準言語として用語の統一に役立てられる。
CWE計画を統括する非営利団体MITREの情報セキュリティ担当主席エンジニアSteve Christey氏は、バージニア州アーリントンで開催された「Black Hat DC 2007 Briefings & Training」でプレゼンテーションを行い、次のように述べた。「こうした脆弱性を記述する、共通の正確な表現がなければ、脆弱性について伝える努力をしても断片的にしか伝わらず、部分的にしか問題が解決されない可能性がある」
MITREは、この辞書を通じ、ソフトウェアバグの検出、低減、防止に関する共通の基準を提供することを目指している。CWEはまた、ソフトウェアを購入する人にとってセキュリティ評価指標としても機能し、特定のセキュリティ問題を検出または防御しようとする場合、特に有効なセキュリティツールとなると、MITREは述べている。
「購入者にとっては、自分たちが求めるものをベンダーに伝える手段が1つ増えることになる」とChristey氏は話す。CWEはまた、開発者にとって、アプリケーション開発時に何を避けるべきかをより具体的に理解するのに役立つという。
Christey氏は、ソースコードチェック用ツールによる初期定義の範囲は非常に狭いとして、CWEの必要性を強調した。
Christey氏は、「CWE(における定義)のうち、半分はどのツールでもまったくカバーされていなかった。また29%は、1つのツールでカバーされていたのみだった」と説明する。同氏の言う「1つのツール」とは、Fortify SoftwareやCoverity、Klocworkなどが販売する、コンピュータコードを専門に調べるツールだ。
MITREによると、ソースコードセキュリティ企業のうち、Cigitalなどのように、すでにCWEの採用を確約している企業もあるという。他の企業も追従する可能性が高い、とChristey氏は述べた。
「われわれは、CWEが各社製品に利用されることを期待している」(Christey氏)
MITREは、過去1年半にわたりCWEに取り組んできた。同プロジェクトに携わる人々は、セキュリティツールメーカーを含む複数のソースからデータを引き出して集め、統一化してきた。これは非常に困難な作業で、1つのリストだけですでに300種のバグのカテゴリを含んでいる。
「現在は第5草案の段階だ。考えうるすべてのことはすでに揃った。あとは良い形にするだけだ」と、MITREに協力してきたCigitalの管理コンサルタントSean Barnum氏は語った。
この辞書の第5草案は、2006年12月15日リリースされた。第6草案には、CWEイニシアティブに参加するツールおよび情報の提供元16団体から集めた脆弱性に関するデータが組み込まれる見込みだ。
CWEは一般に広く使える状態に近づいてきた、とChristey氏は話す。最終草案は今後数カ月のうちにリリースされる予定だ。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
