HOME情報セキュリティ資料・報告書・出版物調査・研究報告書脆弱性情報共有フレームワークに関する調査報告書

本文を印刷する

情報セキュリティ

脆弱性情報共有フレームワークに関する調査報告書

最終更新日 2008年2月12日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、脆弱性対策の促進に向けて、各国の中小規模組織における脆弱性対策の現状、組織内で脆弱性情報を共有するためのフレームワーク(情報共有の枠組み)や脆弱性対策確認作業の自動化に向けた取り組みに関して調査を行い、調査報告書を2008年2月12日(火)より、IPAのウェブサイトで公開しました。

概要

 近年、世界規模での脆弱性を悪用するコンピュータウイルスの蔓延、サイバー犯罪の増加に伴い、PCやサーバの脆弱性対策が社会問題化してきています。現代のネットワークは、組織の規模を問わずインターネットを介して接続された巨大なネットワークであり、日本の情報インフラの安全・安心を実現するためには、セキュリティ専門家がいる大規模な組織のみならず、専門家の不足しがちな中小規模組織に対しても、脆弱性対策を促進していく必要があります。

 このような課題に対応するため、IPAでは、国内中小規模組織における情報セキュリティ対策の現状、及び、欧州・韓国・米国における組織内で脆弱性情報を共有するためのフレームワーク(情報共有の枠組み)や脆弱性対策の確認作業の自動化に向けた取り組みに関して調査を行いました。

 今回の調査では、脆弱性対策促進への取り組みを行っている組織へヒアリングを行うと共に、各組織がウェブサイトで公開している資料に関して調査し、今後の情報システムの脆弱性対策を促進するための施策を検討しました。

1.脆弱性対策の現状と情報共有の枠組み

 

(1)

国内中小規模組織における情報セキュリティ対策の現状

 

(2)

英国の取り組み状況
英国政府がCPNI(Centre for the Protection of National Infrastructure:国家インフラ防護センター)を中心として推進している、中小規模組織向けのセキュリティ情報共有サービスのフレームワークWARP(Warning, Advice and Reporting Point)の状況

 

(3)

EU(European Union:欧州連合)の取り組み状況
EUの情報セキュリティ専門機関であるENISA(European Network and Information Security Agency:欧州ネットワーク情報セキュリティ庁)が推進する、多言語でのセキュリティ情報の流通及び活用促進のための試験的プロジェクトEISAS(European Information Sharing and Alert System)の状況

 

(4)

韓国の取り組み状況
韓国の情報通信部の外郭団体であるKISA(Korea Information Security Agency:韓国情報保護振興院)が推進する、情報セキュリティ政策の状況

2.脆弱性対策確認作業の自動化に向けた取り組み

 

(1)

米国の取り組み状況
米国政府がNIST(National Institute of Standards and Technology:国立標準技術研究所)を中心として推進している、情報セキュリティ管理の自動化と標準化を規定した仕様・規格SCAP(Security Content Automation Protocol)の状況

 本調査により、中小規模組織の情報システムの脆弱性対策を促進していくためには、脆弱性情報の入手を簡易化する支援ツールの開発と普及活動、中小規模組織の情報システムをサポートする事業者に向けた情報提供の強化、中小規模組織に対する脆弱性対策の必要性のプロモーション活動などが効果的な施策であることが判りました。IPAでは、これらの具体化に向けて検討を進めてまいります。

調査実施者

株式会社 日立製作所

目次

1章 はじめに
2章 脆弱性関連情報の活用促進に関する調査
  2.1 国内中小規模組織における情報セキュリティ対策の状況
  2.2 WARP(Warning, Advice and Reporting Point) (英国)
  2.3 EISAS(European Information Sharing and Alert System)(EU)
  2.4 KISA(Korea Information Security Agency)の取り組み調査 (韓国)
3章 脆弱性対策の自動化に関する取り組み調査
  3.1 SCAP (Security Content Automation Protocol) (米国)
  3.2 技術動向に関する調査
4章 調査まとめと今後の取り組みへの方策
  4.1 調査まとめ
  4.2 脆弱性関連情報の有効活用に向けた今後の取り組み施策

報告書のダウンロード

(参考)

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 小林/山岸
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2008年 2月12日 調査報告書を掲載