わすれっぽいきみえ

みらいのじぶんにやさしくしてやる

9日目: 脆弱性情報データベースについて調べてみた

本当は違うことを記事にする予定だったが、ちょっと調べものしてるうちにこっちの方が大事だなと思ったので脆弱性情報データベースについて分かったことをまとめる。

脆弱性情報データベースとは

脆弱性情報をデータベース化し、一般向けに公開されているものを指す。(脆弱性情報データベース - Wikipedia)
大体の脆弱性情報はCVE-XXXX(XXXXは数字)でまとめられていて、今年挙げられた大きな脆弱性だと

がある。

CVEとは

CVEはCommon Vulnerabilities and Exposuresの略称で、内容は「脆弱性に番号を振って、何の脆弱性なのかを分かるようにしたもの」である。CVEでは番号だけ振っておき、脆弱性の詳細情報は他のデータベースで補うこととする。「あーあの脆弱性かー」と共通の名前を持たせることが目的となっている。前々から「どうして人によって、組織によって使っているOSや端末が違うのに、OSや端末依存のない固有の脆弱性があるかのように書けるんだろう」と私も気にはなっていて、その目的を読んでようやく分かった。

HeartbleedやShellshockは本当にショッキングな脆弱性だったから通称が出来るほどだが、脆弱性は細かいのも含めるともっといろいろあるので、そういう脆弱性もCVE-XXXXみたいに連番を振って区別しておけば後で探すときに探しやすいよね、ということ。

日本で脆弱性の届け出を出すには

CVEに取り込んでもらうにはどうするといいのかなと思ってググったら
共通脆弱性識別子CVE概説:IPA 独立行政法人 情報処理推進機構
に「JVNで公表する脆弱性に対するCVEの割り当てを申請する」とあるので、JVNに報告できれば取り込んでもらえると思ってよい。

報告の仕方は
脆弱性関連情報の届出:IPA 独立行政法人 情報処理推進機構
に記載がある。

JVN iPedia
には現時点で日本ではどんな脆弱性が報告されているのかを閲覧できる。

上記は基本的に日本でのソフトウェア・ハードウェア全体に適応されるような脆弱性の話だが、各社それぞれのサービスで脆弱性が見つかったら報告するためのお問い合わせ窓口を用意している。企業によっては報奨金も用意している。ざっとググると以下の企業がヒットした。


明日も脆弱性周りのことで調べたことを書く。

*1:mixiは報告期間を定めていて結構前に終了した。実際に報告した人によるブログ記事も見つけた。