JPCERT/CC、日本国内で初めてCNA(CVE Numbering Authority)に認定 | RBB TODAY

JPCERT/CC、日本国内で初めてCNA(CVE Numbering Authority)に認定

エンタープライズ セキュリティ

「CVE - Common Vulnerabilities and Exposures」サイト(画像)
  • 「CVE - Common Vulnerabilities and Exposures」サイト(画像)
 JPCERTコーディネーションセンター(JPCERT/CC)は24日、CVE(Common Vulnerabilities and Exposures)を管理運営する米国MITRE社がJPCERT/CCをCNA(CVE Numbering Authority, CVE採番機関)に認定したと発表した。

 「CNA」とは、米国MITRE社が管理運営を行い、一般公表されている公知の脆弱性情報を掲載している脆弱性情報辞書(データベース)で、世界各国の製品開発企業、セキュリティ関連企業、調整機関等が広く利用している。発見されたソフトウェアの脆弱性にはID番号が付けられ。このIDでパッチ情報やその他が管理される。この番号が発行できるのは、マイクロソフトやオラクル、アドビなど大手ベンダーとCERT/CCといった一部のセキュリティ関連機関だけだ。

 JPCERT/CCがCNAに認定されたことにより、国内のパートナーシップや海外から報告された脆弱性関連情報に自らの判断でCVE番号を付与できるようになる。現在、情報セキュリティ早期警戒パートナーシップの運用においては、これまでも個々の脆弱性ごとにMITRE社に対して採番依頼を行い、CVEに準拠した脆弱性情報の開示を行っていた。JPCERT/CCがCNAになったことにより、より一貫したCVEとの整合性が確保されることになる見込みだ。

 JPCERT/CCは、2008年5月21日にJVN英語版サイトの運用を開始し、それにともない報告者として2年間CVE番号採番活動を推進していた。またその間、JPCERT/CCはMITRE社とCNA認定に向けての協議、調整等を行い、CNAの認定を受けるための準備を行っていたという。
《冨岡晶》

関連ニュース

特集

page top