OASIS、Webアプリケーションの脆弱性記述形式の標準化に着手

■URL
http://www.oasis-open.org/news/oasis_news_05_28_03.php

　XML関連の標準化団体であるOASISは、Webアプリケーションに含まれているセキュリティの脆弱性を記述するための共通フォーマットを作成する作業に着手した。

　この作業のために設置された「OASIS Web Application Security Technical Commitee」（以下WAS Technical Commitee）では、以下の3点の作成を目指して活動していく。

1）Webセキュリティの脆弱性を分類するためのスキーム
2）初期段階での脅威、利用者に与える影響とリスクをレーティングするためのガイダンスモデル
3）現在のセキュリティーの状態を記述し、セキュリティのアセスメントとセキュリティー防御ツールで利用できるXMLスキーマ

　この活動について、WAS Technical Commiteeの座長を務めるMark Curphey氏は、「現在のセキュリティ勧告は、分かりにくい文章か、私有されるデータファイルの形式で発行されている。同じ脆弱性がしばしば別の形式で記述されており、異なる言語と文脈のなかで。リスクの定量化が異なった方法で行なわれている。WASが脆弱性について、共通した方法を出版することで、法執行機関、政府、企業、組織などが、どのようなツールやテクノロジーを使っているかに関係なく、リスクを共通に理解できるようになる」と説明した。

　WAS Technical Commiteeは、他の団体や企業の参加を受け入れる方針で、すでにオープンソースグループのOpen Web Application Security Project（OWASP）が、同プロジェクトで開発した「Vulnerability Description Language」（VulnXML）を提出する計画という。

◎関連記事
■OASIS、セキュリティ製品の相互通信を実現するXMLベースの標準仕様策定へ

(2003/5/29)

[Reported by 青木大我 （taiga@scientist.com）]