脆弱性情報データベース
不正アクセス対策における脆弱性情報
インターネット利用が普及している今日においては、とりわけインターネット
サーバーに対する「不正アクセス」に対する対策が重要な課題となっております。このインターネット
サーバーに対する「不正アクセス」には、正規のユーザーではないのに入り込んで使用する行為や、そのサーバーが期待される動作をしないようにしてしまう攻撃があります。前者の「侵入」には、正規のユーザーの認証に必要なパスワードを他人が使って侵入する場合や、不適切な設定によって外部者が利用できるようになっている場合以外に、
サーバー アプリケーション
プログラムに脆弱性があって、認証機構を迂回できてしまう場合があります。後者の「サービス妨害」にも、過負荷をかけてられて処理が困難に陥る場合以外に、サーバー
アプリケーション プログラムやプロトコル
スタック実装に脆弱性があって処理不能に陥る場合があります。このようなソフトウェアやプロトコル実装の脆弱性は、ユーザーが自身で直せるものではありません。そのベンダーの修正パッチをあてたり、アップグレードする必要があります。インターネット
サーバー以外のソフトウェアで、ブラウザーなどにもセキュリティ侵害を許す脆弱性があるものがあることが知られています。
このような脆弱性の情報を攻撃者が知っていてサイトの管理者が知らない、という状況が危険な状況といえます。各インシデント レスポンス チームは、その主要な活動のひとつとして、このような脆弱性情報をできるだけ早く提供するように努めています。また、サイトの管理者の不正アクセス対策にかける作業負荷を軽減するようなツールが開発されています。
研究開発における脆弱性情報
また、外部からの「侵入」や「サービス妨害」などの「不正アクセス」や、内部におけるセキュリティ侵害行為を自動的に検出し、システム管理者に通知する IDS(Intrusion Detection system:侵害検知システム)の開発が各国で行なわれています。この IDS の開発においても、脆弱性情報が必要とされます。
さらに、サーバープログラムの開発者やプロトコル スタックの実装者が、脆弱性をもたないプログラム開発を行うようにするためには、反面教師としてのサンプルが必要です。
このように「不正アクセス」対策を研究開発するにあたっては、脆弱性情報が必要とされるのです。しかし、現状では、このような情報の保有者には情報を共有しようという意思が感じられません。その背景には、商用としての情報財産価値があることや、攻撃者に対する情報提供となる懸念があります。インターネット
セキュリティ対策の研究開発分野においては、未だ、このような脆弱性情報の交換が円滑に行える環境は整備されていません。
IPA セキュリティセンターにおける脆弱性情報
またセキュリティセンターでは、情報セキュリテイ対策技術の研究開発を支援しております。その中で、様々な脆弱性を必要とする研究開発プロジェクトを管理するにあたっては、我々自身が脆弱性情報にアクセスできる環境が必要となります。
このように、情報提供のあり方の検討や研究開発の支援といった活動を推進するにあたって、必要となる脆弱性情報について調査を行っております。
出張報告
「セキュリティ脆弱性のデータベースについての研究ワークショップ」
"Workshop on Research with Security Vulnerability Databases"
参加報告上記のワークショップのレポートは、パーデュ大学の CERIAS からダウンロードすることができます。
http://www.cerias.purdue.edu/coast/coast-library.html
Final Report of the 2nd Workshop on Research with Security Vulnerability Databases, January 1999
Pascal C. Meunier and Eugine H. Spafford
Copyright (c) 1999 Information-technology Promotion Agency, Japan. All rights reserved.