最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き~東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」~Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり~米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応~JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【技術】

脆弱性確認方法のスタンダードを目指す

脆弱性の存在確認を自動化する「OVAL」~非営利企業MITREが発表

■URL
http://www.mitre.org/news/articles_02/oval12_10_02.html
http://oval.mitre.org/

 米MITREは10日、コンピューターの脆弱性を確認するための言語を含む環境「Open Vulnerability Assessment Language」(OVAL)を発表した。OVALは公開されており、無償で利用できる。

 MITREは米国政府と関連がある非営利企業で、国家の安全保障にかかわる問題をエンジニアリング手法を用いて解決するためのさまざまな活動を行なっている。これまでコンピューターに含まれる脆弱性の存在を確認するためには、各ソフトウェアベンダーや政府機関、セキュリティー企業が提供する脆弱性情報をシステム管理者が読み取り、手作業でその脆弱性がシステムが存在するかどうかを確認しなければならなかった。

 OVALはこうした方法で提供される脆弱性情報を見直し、リレーショナルデータベースで広く利用されているSQL言語で記述される「OVAL Query」形式で脆弱性情報を提供することで作業を自動化する。OVAL Queryを、MITREが無償で提供している「Query Interpreter」や、これからベンダーによって開発されるであろうOVAL対応スキャナに入力すると、コンピューターにインストールされているOSの種類、設定、インストールされているアプリケーションの種類とその設定情報、レジストリキー設定、ファイル属性、コンフィギュレーションファイルの有無などを自動的に確認する。

 この環境において脆弱性情報はOVAL Queryの形で提供されるが、現在公開されているOVAL Queryは、MITREがすでに公開しているデータベース「Common Vulnerabilities and Exposures」(CVE)により作成されている。CVEは国際的なセキュリティーコミュニティの協力のもとでMITREが編纂している、さまざまなシステムに存在する脆弱性情報のデータベースである。今後新たな脆弱性が発見された場合、発見者がOVAL Queryのドラフトを書き起こし、MITREを含むOVAL役員会の承認を経て、正式に公開される。OVAL Queryを記述するための枠組みは「OVAL Schema」として公開されており、このスキーマに基づいてOVAL対応スキャナをサードパーティーが実装できるようになっている。現在、OVALのWebサイトで「Windows 2000」などの脆弱性情報がOVAL Queryの形式で公開されている。

 これまでこうした作業を自動化するスキャナをセキュリティーベンダーやOSベンダーが提供することはあったが、多くの場合実際に脆弱性を突くソフトウェアコードがなければならなかった。OVALはこうしたことを行なわず、むしろ脆弱性が存在するかどうかだけを問題にし、システム管理者に存在する脆弱性のレポートを提供することで必要な修正パッチを速やかに当てることができるようにする。

 公開されたOVALは、現在Windows NT4.0/2000、Solaris7/8をサポートし、RedHatLinuxのサポートはドラフト段階として公開されている。

 これまで脆弱性情報はベンダーによって名前や記述方法が異なるなど、利用者にとって不便なことが多く、結果としてシステムの脆弱性を招いていた。OVAL環境により、こうした状況が改善され、将来は脆弱性を確認するための標準的な方法となる可能性がある。

(2002/12/11)

[Reported by 青木 大我 (taiga@scientist.com)]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2002 Impress Corporation All rights reserved.