脆弱性情報を選別、必要な対策情報を確実にピックアップする
脆弱性情報を選別、必要な対策情報を確実にピックアップする:10個のツールで学ぶ、備える!情報セキュリティの脅威と対策 IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の7回目。国内で利用される多数のソフトウェアの脆弱性対策情報から利用者が必要とするソフトウェアの情報のみをフィルタリングして、取得するツールを紹介します。 ソフトウェアが持つ脆弱性は、脆弱性発見後にとり得る対応によって二つに分類できます。一つは自分たちの手で改修することができる脆弱性です。自社で内製したソフトウェアなどがこれにあたります。こうした脆弱性はアプリケーションの実装や設計内容にセキュリティ対策が考慮されていないことにより、作り出されます。 もう一つは、アプリケーションの土台となるOSやデータベース、開発言語のランタイムライブラリなど、ベンダーの手で構築されていて自分たちの手では改修できない脆弱
OpenVPNの"BEAST" exploitについての見解
海外のいくつかのサイトで、SSLの脆弱性に関して取り上げられています(Hackers break SSL encryption used by millions of sites など)。SSLを基盤としたVPNであるOpenVPNに対する影響が気になるところですが、作者であるJames YonanがOpenVPN MLの中でこの件について説明していますので、その概要をご紹介しましょう。 現時点において"BEAST" exploitの詳細は不明だが、おそらくはこの脆弱性は2004年に公開されている、SSL/TLS 1.0の初期化ベクタに関連した問題ではないかと考えられる。 この脆弱性はSSLの全バージョンと、TLS 1.0に存在するもので、TLS 1.1以上についてはこの問題は存在しない(OpenVPNは現在TLS 1.0 を使用している)。 この問題の回避策の一つとして広く採用されている
米国政府のぜい弱性対策に関する取り組み~CCE(その2)~
前回のコラムでは,米国でのプログラムの『設定上のセキュリティ問題』に対する取り組みを整理しました。今回は,『設定上のセキュリティ問題』に一意の番号(設定項目識別子)を付与するCCE(Common Configuration Enumeration)を紹介します。 ■CCE とは CCEは,プログラムの『設定上のセキュリティ問題』を解決するための仕様で,セキュリティと関連する設定項目に一意の番号(設定項目識別子)を付与します。Mitre社を中心検討が進められ,2006年8月にドラフトがリリースされました。 CCE によって付与される識別子は“CCE-番号”というように構成されています。2007年7月にリリースされたCCE List,Version 4.0では914件,2007年12月にリリースされたCCE List,Version 4.1では1496件が一覧表に登録されています(形式はマイク
EaaS――「サービスとしてのエクスプロイト」業界が暗躍
IBM傘下のISSは、脆弱性の報告件数が初めて減少に転じたと報告、一方でその背後にある危険な動向を指摘している。 マルウェアはますます高度化、ターゲット化する傾向にあり、アンダーグランドでは脆弱性情報の売買が盛んになっている――。米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のX-Force部門が9月17日に発表した報告書で、こんな実態が明らかになった。 それによると、この半年でX-Forceが新たに検出・分析したマルウェアは21万件となり、2006年の1年間で検出された件数を既に上回った。マルウェアの中で最も多かったのはトロイの木馬で、全体の28%を占めていた。 一方、脆弱性が見つかった件数は3273件となり、2006年上半期に比べて3.3%減少した。X-Forceが1997年に脆弱性データベースを構築して以来、減少に転じたのは初めてだという。
【CSIRTメモ】チェックしておきたい脆弱性情報
この記事は,日立製作所のHIRT(Hitachi Incident Response Team)のスタッフがCSIRTの担当者に向け,脆弱性対策情報から得られた知見,脆弱性対策に関するアドバイス,ツールなどを紹介するものです。 ■IPv6 Protocol Type 0 Route Header のぜい弱性(2007/05/06) IPv6 Protocol Type 0 Route Header のぜい弱性は,Type 0を設定した経路制御ヘッダーを悪用することにより,二つのIPv6ノード間に大量のトラフィックを発生させることができるサービス妨害(DoS: Denial of Service)に関わるぜい弱性です。このぜい弱性については,いろいろ動きがありましたので,ぜい弱性に関連するイベントの時間的な流れを見ておきましょう。 2007/01/25 Cisco IOS が不正なIPv6パ
情報システム等の脆弱性情報の取扱いに関する研究会 報告書:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を含む報告書をとりまとめ、2007年5月30日(水)より、IPAのウェブサイトで公開しました。 本マニュアルは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)において、昨年12月から行われた検討の成果です。 ソフトウェア製品開発者にとって、利用者に安全なソフトウェア製品を提供することは、品質に対する信頼確保の観点から重要ですが、現実には周到な安全設計のもとに開発された製品であっても、セキュリティ上の弱点(脆弱性)が生じてしまうことがあります。 過去にリリースした製品に脆弱性が存在することを知りながら、脆弱性対策情報を公表せず、被害が生ずる可能性を隠した
IPA、ソフトなどのセキュリティ上の脆弱性深刻度評価を開始
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 独立行政法人の情報処理推進機構(IPA)は2月22日、「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、ソフトなどのセキュリティ上の脆弱性の深刻度を、「共通脆弱性評価システム(Common Vulnerability Scoring System:CVSS)」を用いて評価する試行を開始した。 今回開始された脆弱性の深刻度評価は、製品利用者やシステムインテグレーション事業者の脆弱性関連情報の分析・適用を支援するためのもので、現在、2006年10月以降に公表した脆弱性関連情報約40件について深刻度を公表している。 CVSSは、国際的な団体「FIRST(Forum of Incident Response and Securi
ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ソフトウェア等におけるセキュリティ上の弱点(脆弱性)の深刻度をCVSS基本値を用い評価する試行を開始しました。 脆弱性の深刻度評価は、「情報システム等の脆弱性情報の取扱いに関する研究会」の提言を受け、製品利用者やSI事業者の脆弱性関連情報の分析・適用を支援するため開始しました。 現在、公表済みの脆弱性関連情報約140件について深刻度を公表しています。また、今後公表する脆弱性関連情報には、その都度深刻度もあわせて公表いたします。 脆弱性の深刻度は、FIRST(Forum of Incident Response and Security Teams)の場で適用推進や仕様改善が行われている、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)を適用しています。 CVSSは
IPAがソフトウエアのぜい弱性評価にCVSSを採用,深刻度をWebで公開
情報処理推進機構(IPA)セキュリティセンターは2月22日,ソフトウエアなどのぜい弱性の評価に「CVSS」を採用すると発表した。CVSSは「Common Vulnerability Scoring System」の略で,コンピュータ・セキュリティの非営利団体「FIRST」(Forum of Incident Response and Security Teams)が推進する,ぜい弱性評価システムのこと。IPAはCVSSを採用することで,「ぜい弱性の深刻度を同一基準で定量的に比較できるようになる」としている。 IPAでは,CVSSで定義されている三つの評価基準のうち,ぜい弱性自体の特性を評価する「基本評価基準」(Base Metrics,CVSS基本値と呼ぶ)を算出してWebで公開する。CVSS基本値は攻撃元の区分や攻撃条件の複雑さ,影響度などから0.0~10.0の値で表記する(算出方法の詳
脆弱性の深刻さ測る「共通語」の策定進む
共通のものさしを用いてどの脆弱性がどのくらい深刻なのかを示し、対応の優先順位付けを支援するための指標作りが進められている。 パッチの適用は基本的なセキュリティ対策の1つだ。しかし、組織的なパッチ管理を実施するうえで、1つ問題が生じる。果たしてその脆弱性がどのくらい深刻であり、どの程度迅速に対処しなければならないかを把握する客観的なものさしが存在しないことだ。 管理者としては、脆弱性の深刻さをシステムのアベイラビリティや互換性といった要素と突きあわせ、適用のタイミングを決定することになる。しかし、たとえばMicrosoftは4段階で脆弱性をランク付けし、セキュリティ企業のSecuniaでは5段階で評価を行うといった具合に、企業によって深刻さの尺度はまちまちだ。 Cisco Systemsのマイク・シフマン氏は、RSA Conference 2005で行ったセッションにおいて、この問題を解決す
IT大手、脆弱性深刻度評価の標準化システムで協力
CiscoやMSなどのIT大手が、ソフトの脆弱性の深刻度評価の標準化のため、新システムを発表した。(IDG) Cisco Systems、Microsoft、Symantecなどの大手IT企業が、ソフトの脆弱性の深刻度評価を標準化するレーティングシステム推進に当たる。 この新システム「Common Vulnerability Scoring System」(CVSS)の計画は2月17日、米サンフランシスコで開催のRSA Conferenceで披露された。広く採用されれば、コンピュータセキュリティの深刻度について記述する共通の言語が提供され、ベンダーごとに異なるレーティングシステムの代替になると、Cisco研究者のマイク・シフマン氏はプレゼンの中で説明した。 同システムは、脆弱性に関する情報公開の世界的なフレームワーク構築を目指すNational Infrastructure Advisor
JVNRSS: CVSS
CVSS (Common Vulnerability Scoring System) [1][2][3][4] は、 脆弱性そのものの特性を評価する基準 (基本評価基準: Base Metrics)、 攻撃コードの出現有無や対策情報が利用可能であるかといった脆弱性の現在の深刻度を評価する基準 (現状評価基準: Temporal Metrics) 、 攻撃を受けた場合の二次的な被害の大きさや、組織での対象製品の使用状況といった基準 (環境評価基準: Environmental Metrics) を用いて脆弱性の深刻度を包括的かつ汎用的に評価する手法です。 [1] FIRST Common Vulnerability Scoring System (CVSS-SIG), http://www.first.org/cvss/ [2] NIST: National Vulnerability Da
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱性データベース「JVN iPedia」、脆弱性概要ページで画像が掲載可能に
動向を追うならやっぱりここ!セキュリティ・ベンダーのブログ
https://xtech.nikkei.com/it/article/COLUMN/20070509/270374/
Software Vulnerability Information Site
IPA、ソフトウェアの脆弱性深刻度を公表
http://www.packetfactory.net/papers/CVSS/
HITACHI:セキュアプラザ 米国最新セキュリティ動向(2)
http://wani.bbsnavi.net/trenjac/nvd.nist.gov/cvss.cfm