普段、脆弱性情報の収集はどのようにされていますか。
私はSlackのRSS機能を使って収集しています。
需要があるかわかりませんが、RSSフィードのURLを載せておきますね。
JPCERT/CC RSS Feed
JPCERT/CCは、インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。
IPA
コンピュータ・ウイルスやセキュリティホールに関する被害状況の調査・分析をはじめとする情報セキュリティ対策、国民に向けた情報セキュリティ対策の普及啓発、IT製品・システムの安全性を確保するための制度運用などを推進しています。
JVN
JPCERT/CCとIPAが共同で管理している脆弱性情報データベースである。CVEの管理団体が米国であるために日本での脆弱性情報が網羅されているわけではなく、そのような事情に鑑みて日本の脆弱性情報に焦点を置いたものとなっている。
JVN iPedia
前述のJVNと同じ団体によって管理されている脆弱性情報データベースである。
JVNとJVN iPediaの大きな違いは、脆弱性情報の収集範囲と公開タイミングにある。JVNの提供する情報の対象範囲はJPCERT/CCの活動が中心となっているものである。つまり、JPCERT/CCに届けられた脆弱性情報に加えて、JPCERT/CCと協力関係にある他国の脆弱性情報管理団体が提供する情報、CERT/CCの提供する「Technical Cyber Security Alerts」(JPCERT/CCで言うところのCERT advisory)や「Vulnerability Notes」、CPNI(英語版)の提供する「CPNI Vulnerability Advice」が対象となっている。対して、JVN iPediaは「日々発見される脆弱性対策情報を適宜収集・蓄積」することを目的としており、対象範囲はJVNのものに加えて日本国内製品、日本に流通している製品も含まれる。JVN以外の情報は、日本国内ベンダーや上述の#NVDから得ている。このように、JVN iPediaはJVNよりもさらに日本向け情報に特化したものと言える。なお、JVN iPediaはNVDから情報を得ていることもあり、CVSSによる危険度の採点も合わせて公開している。
US-CERT
US-CERTは、米国国土安全保障省(DHS)配下の情報セキュリティ対策組織で、国際的なサイバー演習 (直近では、CyberStormⅢ)の主宰なども行うほか、JPCERT/CC等の各国の関係組織との間で脅威情報の共有などの連携を行っている。
CVE
MITRE社が1999年に前述の「セキュリティ脆弱性のデータベースについての研究ワークショップ」で提案し、実現化させた脆弱性情報データベースである。他の脆弱性情報データベースと異なり、内容がベンダ依存でない(業界標準名が用いられている)ことが利点として挙げられる。なお、MITRE社はCVEをデータベースではなく辞書だとしている。その真意は、CVEの目的は「識別可能性の確保=個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名=個々の脆弱性に(業界標準的な)名前を付けること」であり、詳細情報は外部サイトや他の脆弱性データベースに任せるというものである。
https://nvd.nist.gov/download/nvd-rss.xml
コメント