SAMAC

脆弱性データベース検討WGのご紹介

組織にとって業務上使用するソフトウェアの種類とその使途は多岐にわたり、その資産管理と安全な利用に向けた、脆弱性情報の掌握・対策の徹底は容易なことではありません。
2014 年に発覚した OpenSSL、Apache Struts といった広く普及しているオープンソースの脆弱性では、自組織のサーバーでの使用有無などの影響判定が困難であったため、対策の徹底を一層難しくしました。
これを受け組織が使用するソフトウェアの管理と安全な使用の一元的な管理を実現可能にするため、2014 年 6 月に IPAのJVN iPedia が持つ脆弱性対策情報と SAMAC が持つ“ソフトウェア辞書”とのデータ連携について検討に着手しました。データ連携にあたっては各々のデータベースが保有するソフトウェアの表記が異なる場合があることから、共通プラットフォーム一覧(CPE)を使った紐付けテーブルを新たに作成します。
これが実現すると、ソフトウェア管理に脆弱性(対策)情報が紐付くため、組織で使用しているソフトウェアの脆弱性対策が効率・効果的に実行可能となります。本WGではデータ連携による新たな価値を広めていき、普及させていくことを目的として活動を行います。


脆弱性データベース検討WGメンバー一覧

所属組織 氏名
株式会社ディー・オー・エス 嶋野 至剛(リーダー)
NECキャピタルソリューション株式会社 森田 聡子
独立行政法人 情報処理推進機構 寺田 真敏
SoftwareONE Japan株式会社 荒巻 智之
日本マイクロソフト株式会社 手島 伸行
富士通株式会社 髙橋 快昇

脆弱性データベース検討WG活動報告

2020年度活動予定

・一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
・SAMACソフトウェア辞書のレコード追加・更新
・SAMACソフトウェア辞書へ脆弱性データベース情報を定期追加
・上記更新作業委託に伴うWG内での検収

2019年度活動実績

・一般社団法人ICT-ISAC主催の情報共有WGへの参加及び協力
・SAMACソフトウェア辞書のレコード追加・更新
・SAMACソフトウェア辞書へ脆弱性データベース情報を定期追加
・上記更新作業委託に伴うWG内での検収