JPCERT/CC、国内初のCVE採番機関に認定


 脆弱性情報データベース「CVE」を運営する米MITRE社は23日、JPCERTコーディネーションセンター(JPCERT/CC)をCNA(CVE採番機関)に認定したことを明らかにした。これによりJPCERT/CCは、国内外から報告された脆弱性関連情報に自らの判断でCVE番号を付与できるようになった。

 「CVE番号」は、セキュリティ関連のウェブサイトなどで、それぞれ独自の識別子によって公開されている脆弱性情報が同じものであるかを確認するための判断材料として、世界各国の製品開発企業やセキュリティ関連企業、調整機関、研究者などに広く利用されている。

 CVE番号の採番を受ける方法は2種類ある。1つは「報告者」として新規の脆弱性ごとにMITRE社に採番を申請する方法。2つめはCNAとしてMITRE社の認定を受けた機関が、MITRE社よりあらかじめ割り振られたCVE番号群から採番する方法。これまでJPCERT/CCは、前者の方法を採用していたが、今後はより一貫したCVEとの整合性が確保されるとしている。

 なお、JPCERT/CC以外でCVE採番機関として認められているのは、第三者調整機関としては米国CERT/CC、製品開発企業としてはAdobe Systems、Apple、Cisco Systems、Hewlett Packard、Microsoft、Oracleなど、研究機関としてはCore Security TechnologiesとSecuniaがある。


関連情報

(増田 覚)

2010/6/24 14:26