日経BP社、Itpro(http://itpro.nikkeibp.co.jp/aboutitpro/index.html)にて連載中のHIRT執筆によるCSIRT担当者向けの脆弱性対策情報から得られた知見、脆弱性対策に関するアドバイス等の記事です。
2008年7月から世界的に話題になっているDNSキャッシュ・ポイズニングを効率的に実現する手法について,発見者であるダン・カミンスキー氏が, Black Hat 2008の席上でプレゼンテーションを行いました(8月6日)。このキャッシュ・ポイズニングのぜい弱性については,いろいろ動きがありましたので,ぜい弱性に関連するイベントを追いかけておきましょう。
新しいぜい弱性が公開されたとき,大部分の方は最初の質問で,「どのシステムがぜい弱なのか」「どのシステムが影響を受けるのか」を尋ねると思います。ぜい弱性対策でできるだけ自動化,標準化を進めるには,情報システム,プラットフォーム,ソフトウエア・パッケージを照合するための識別情報が必要になります。そこで,これらに一意の名称を付与するCPE(Common Platform Enumeration)という仕様が整備されてきました。
前回のコラムでは,米国でのプログラムの『設定上のセキュリティ問題』に対する取り組みを整理しました。今回は,『設定上のセキュリティ問題』に一意の番号(設定項目識別子)を付与するCCE(Common Configuration Enumeration)を紹介します。
これまで,米国政府のぜい弱性対策に関する取り組みとして,連邦情報セキュリティマネジメント法(FISMA)とISAP(第1回),ISAPを支える技術仕様『SCAP』(第2回),ぜい弱性識別子を規定するCVE(第3回)を紹介しました。今回からは2回にわたって,『設定上のセキュリティ問題』に一意の番号(設定項目識別子)を付与する仕様であるCCE(Common Configuration Enumeration)について解説したいと思います。
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています