Hitach Incident Response Team


 米国政府のぜい弱性対策に関する取り組みとして,連邦情報セキュリティマネジメント法(FISMA)とISAP(第1回),ISAPを支える技術仕様「SCAP」(第2回)について解説してきました。今回は,ぜい弱性識別子を規定するCVE(Common Vulnerabilities and Exposures)について紹介しましょう。

■CVEとは

 CVEはプログラム自身に内在する『プログラム上のセキュリティ問題』に一意の番号(ぜい弱性識別子)を付与する仕様です。1999年1月20日~22日に,米パーデュ大学で開催された2nd Workshop on Research with Security Vulnerability Databasesにおいて,Mitre社がぜい弱性に関する情報共有のための方法として提案しました。

 名前に含まれている“Vulnerabilities”はプログラム自身に内在するプログラム上のセキュリティ問題のことを指し,CVEでは“Vulnerabilities”に対して一意の番号を付与してきました。また,プログラムが稼働するための設定に内在するセキュリティ問題のことを指す“Exposures”については,2006年に入ってから設定項目識別子を規定するCCE(Common Configuration Enumeration)により整備され始めました。

 CVEによって付与される識別子は“CVE-西暦-連番”というように構成されており,2007年9月末までに付与された識別子の数は約2万7000件になります。識別子に付随する情報として,「ぜい弱性識別子として承認された状態(entryと呼ばれている)/検討中の状態(candidateと呼ばれている)」,「ぜい弱性に関する概要」,「ぜい弱性に関連する参考リスト」があります。

 当初は検討中の状態にある識別子には“CAN-西暦-連番”,承認された状態にある識別子には“CVE-西暦-連番”を付与していましたが,2005年10月19日からCANというプレフィックスを廃止し,表記上はすべて“CVE-西暦-連番”に統一されました[1]。西暦の部分は識別子を割り当てた年で,1999年から登録が開始されたため1999年より前のぜい弱性については“CVE-1999-nnnn”が割り当てられています。識別子を割り当ててから実際にぜい弱性が公開されるまでに時間を要する場合がありますが,識別子の割り当て数とぜい弱性の公開件数はおおよそ一致しています(図1)。


図1 CVE による識別子の割り当て数とぜい弱性の公開件数

[1] CVE List Naming Scheme Modified on October 19th
http://cve.mitre.org/news/archives/2005_news.html

■CVEを用いた情報の関連付け


 『プログラム上のセキュリティ問題』に一意のぜい弱性識別子を付与すると,「この」ぜい弱性対策情報と「あの」ぜい弱性対策情報は同じぜい弱性に対するものだというように,セキュリティ情報/ぜい弱性対策情報同士の関連付けに利用できます。

 例えばURL詐称に悪用される可能性があったInternet Explorerのぜい弱性対策MS04-004には,次の三つのぜい弱性への対策が含まれています。

 試しにCVEを利用せずに,代表的なセキュリティ情報/ぜい弱性対策情報同士の関連性を記載してみましょう(図2)[2]。この図では,矢印の太い方から細い方へに対して情報の参照が発生していることを示しています。JVNTA04-033Aを例にとると,JVNTA04-033AはTA04-033Aを参照していることになります。情報同士が相互参照しているわけではないため,同じぜい弱性を取り扱っているかどうかは分かりにくいのですが,よく見ると大きく三つのグループに分かれていることは理解できます。


図2 CVEを利用しないでセキュリティ情報/ぜい弱性対策情報同士の関連性を記載した場合 描画には,Java アプレット(TouchGraph Link Browser)を利用。

 次にCVEを利用してセキュリティ情報/ぜい弱性対策情報同士の関連性を記載してみましょう(図3)[3]。図2に比べると,CVEを中心に情報同士の相互参照が存在し,三つのグループ分けがはっきりしています。このように,CVEという仕組みはぜい弱性の判別だけではなく,発見した組織によって呼称が違っている同じぜい弱性について,その同一性を確認する助けになります。


図3 CVEを利用してセキュリティ情報/ぜい弱性対策情報同士の関連性を記載した場合

[2] http://jvnrss.ise.chuo-u.ac.jp/jtg/demo/JVNTA04-033A_demo_nocve.html
[3] http://jvnrss.ise.chuo-u.ac.jp/jtg/demo/JVNTA04-033A_demo_withcve.html

■国内に目を向けてみよう

 国内では,2004年7月に施行された「ソフトウエア等ぜい弱性関連情報取扱基準」(平成16年経済産業省告示 第235号),情報セキュリティ早期警戒パートナーシップによってぜい弱性対策情報の流通のフレームワークが整備されました。JVNはこのフレームワークの下で運用されているぜい弱性対策情報データベースで,CVEがカバーしていない国内のぜい弱性対策情報同士の関連付けをサポートする役割も担っています。

 図4にはJVNに登録されているぜい弱性対策情報とCVE がカバーしていない国内のぜい弱性対策情報を追記しました [4]。CVEは日本国内で利用されているソフトウエア製品(OS,アプリケーション,ライブラリ,組み込み製品など)のぜい弱性対策情報すべてをカバーしているわけではありません。この差分は,日本を含め各国で発生する地域性の問題であり,地域ごとに解決する必要があります。今後,JVN の役割はより重要なものになっていくことでしょう [5][6]。


図4 JVNを利用してセキュリティ情報/ぜい弱性対策情報同士の関連性を記載した場合

[4] http://jvnrss.ise.chuo-u.ac.jp/jtg/demo/JVNTA04-033A_demo_withjvndb.html
[5] http://jvn.jp/
[6] http://jvndb.jvn.jp/

次回は,設定項目識別子を規定するCCEについて紹介する予定です。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。