SAMAC

脆弱性データベース検討WGのご紹介

組織にとって業務上使用するソフトウェアの種類とその使途は多岐にわたり、その資産管理と安全な利用に向けた、脆弱性情報の掌握・対策の徹底は容易なことではありません。
2014 年に発覚した OpenSSL、Apache Struts といった広く普及しているオープンソースの脆弱性では、自組織のサーバーでの使用有無などの影響判定が困難であったため、対策の徹底を一層難しくしました。

これを受け組織が使用するソフトウェアの管理と安全な使用の一元的な管理を実現可能にするため、2014 年 6 月に IPAのJVN iPedia が持つ脆弱性対策情報と SAMAC が持つ“ソフトウェア辞書”とのデータ連携について検討に着手しました。現在、データ連携にあたっては各々のデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォームを使った紐付けテーブルの必要性をICT-ISAC主催の情報共有WGにて共同で検討を進めています。

これが実現すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となります。本WGではデータ連携による新たな価値を広めていき、普及させていくことを目的として活動を行います。


脆弱性データベース検討WGメンバー一覧

所属組織 氏名
株式会社ディー・オー・エス 嶋野 至剛(リーダー)
NECキャピタルソリューション株式会社 森田 聡子
独立行政法人 情報処理推進機構 寺田 真敏
EYアドバイザリー・アンド・コンサルティング株式会社 手島 伸行
合同会社ITアセットマネジメント研究所 髙橋 快昇

脆弱性データベース検討WG活動報告

2021年度活動予定

・一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力

2020年度活動実績

・一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
・SAMACソフトウェア辞書のレコード追加・更新
・SAMACソフトウェア辞書へ脆弱性データベース情報を定期追加
・上記更新作業委託に伴うWG内での検収