IPAは、組織で使用するソフトウェアの脆弱性対策の効率を推進しており、調査結果を発表している。これをうけ、一般社団法人ソフトウェア資産管理評価認定協会(SAMAC)はこの4月から、脆弱性対策情報とソフトウェア資産管理のデータ連携に向けた紐付けテーブルの作成に着手している。
- TechRepublic
Japan関連記事:今必要なのはセキュリティコックピット--再注目されるSIEMの意義
- インシデント発生時に迅速、正確に原因を突き止める“第3世代”SIEM--EMCジャパン
- スキーマ不要でログを収集、検索、分析するSIEMの次世代性--Splunk
- 検知後の行動も定義、“グレー”な振る舞いを見極めるSIEMの分析力--HPE
- “マグニチュード”で危険度を数値化するSIEMのインテリジェンス--日本IBM
- セキュリティ対策をライフサイクルで捉えるこれからのSIEM--マカフィー
オープンソースソフトウェアなどの脆弱性が公表された際、各事業者では、これらのソフトウェアが自社の製品やシステムで使用されているかどうかを把握して対処を図るとともに、顧客などへ注意喚起する必要がある。
実際に、2014年にOpenSSL、Apache Strutsといったオープンソースの脆弱性が発覚したがこれらの対処は困難だった。このように、サーバに該当する脆弱性の影響を受けるコンポーネントを使用しているのかといった、製品内部で使用されているソフトウェアの把握は容易ではなく、ソフトウェアの管理の重要性が課題となっている。
この課題に対応するためには、自社で使用しているシステムやが販売しているシステムで使用されているソフトウェアを一元的に管理する仕組みが必要となる。IPAはこの仕組みの実現に向けた第一歩として、各事業者におけるソフトウェア管理の実態調査や調査を通した課題を抽出をし、その結果をまとめた「ソフトウェア識別管理に向けた分析事業」報告書を公開した。
IPAでは、2014年6月からJVN iPediaが持つ脆弱性対策情報と SAMACが持つ“ソフトウェア辞書”とのデータ連携について検討してきた。その後、実現に向けた調査を継続していたが、これまでの調査をまとめた報告書「ソフトウェア識別管理に向けた分析事業」を公開するに至った。データ連携にあたってはそれぞれのデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォーム一覧を使った紐付けテーブルを新たに作成する。
ソフトウェア辞書とJVN iPediaが保有するソフトウェア情報の連携イメージ(IPA提供)
このテーブルが完成すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となる。