SAMAC

脆弱性データベース検討WGのご紹介

組織にとって業務上使用するソフトウェアの種類とその使途は多岐にわたり、その資産管理と安全な利用に向けた、脆弱性情報の掌握・対策の徹底は容易なことではありません。
2014 年に発覚した OpenSSL、Apache Struts といった広く普及しているオープンソースの脆弱性では、自組織のサーバーでの使用有無などの影響判定が困難であったため、対策の徹底を一層難しくしました。
これを受け組織が使用するソフトウェアの管理と安全な使用の一元的な管理を実現可能にするため、2014 年 6 月に IPAのJVN iPedia が持つ脆弱性対策情報と SAMAC が持つ“ソフトウェア辞書”とのデータ連携について検討に着手しました。データ連携にあたっては各々のデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォーム一覧(CPE)を使った紐付けテーブルを新たに作成します。
これが実現すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となります。本WGではデータ連携による新たな価値を広めていき、普及させていくことを目的として活動を行います。


脆弱性データベース検討WGメンバー一覧

所属組織 氏名
エムオーテックス株式会社 松村 達也(リーダー)
NECキャピタルソリューション株式会社 森田 聡子
独立行政法人 情報処理推進機構 寺田 真敏
SoftwareONE Japan株式会社 荒巻 智之
株式会社ディー・オー・エス 嶋野 至剛
日本マイクロソフト株式会社 手島 伸行
富士通株式会社 髙橋 快昇

脆弱性データベース検討WG活動報告

2018年度活動予定

・SAMAC辞書へ脆弱性データベース情報を定期追加
 ・更新作業委託に伴うWG内での検収
 ・更新作業ロジックの定義検討

2017年度活動実績

・SAMAC辞書への脆弱性データベース情報を更新
 ・自動更新に向けたロジックの定義検討
 ・更新作業の外注契約ならびに検収の実施
・ITAM WORLD 2017での講演