SAMAC

脆弱性データベース検討WGのご紹介

組織にとって業務上使用するソフトウェアの種類とその使途は多岐にわたり、その資産管理と安全な利用に向けた、脆弱性情報の掌握・対策の徹底は容易なことではありません。
2014 年に発覚した OpenSSL、Apache Struts といった広く普及しているオープンソースの脆弱性では、自組織のサーバーでの使用有無などの影響判定が困難であったため、対策の徹底を一層難しくしました。
これを受け組織が使用するソフトウェアの管理と安全な使用の一元的な管理を実現可能にするため、2014 年 6 月に IPAのJVN iPedia が持つ脆弱性対策情報と SAMAC が持つ“ソフトウェア辞書”とのデータ連携について検討に着手しました。データ連携にあたっては各々のデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォーム一覧(CPE)を使った紐付けテーブルを新たに作成します。
これが実現すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となります。本WGではデータ連携による新たな価値を広めていき、普及させていくことを目的として活動を行います。


脆弱性データベース検討WGメンバー一覧

所属組織 氏名
エムオーテックス株式会社 松村 達也(リーダー)
NECキャピタルソリューション株式会社 森田 聡子
株式会社クロスビート 小野 美由紀
独立行政法人 情報処理推進機構 寺田 真敏
SoftwareONE Japan株式会社 荒巻 智之
株式会社ディー・オー・エス 嶋野 至剛
日本マイクロソフト株式会社 手島 伸行
富士通株式会社 髙橋 快昇

脆弱性データベース検討WG活動報告

2017年度活動予定

SAMACのソフトウェア辞書とIPAの脆弱性データベースの連携を進め、
より価値のある辞書データとして提供できるよう活動を行います。最新の
情報をいち早く辞書に反映させるため、さらなる手順の整備や体制構築
を作り上げることを本年度の目標としています。

2016年度活動実績

IPAの脆弱性データベースと連携したソフトウェア辞書を企業や組織へ提供していくにあたり、
サービスレベルの検討や辞書の活用法などを検討しました。
・ユーザーフォーラムWGのイベントにて連携内容を参加企業・組織へ説明/ディスカッション
・IT資産管理ツールベンダー向けに連携内容を説明/ディスカッション
・IPAとの連携ミーティングの実施
・毎月オンサイトによる定例ミーティングの実施