クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”クラウドサービスの脆弱性にCVEは必要か【第1回】

IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。

2021年12月07日 05時00分 公開
[Shaun NicholsTechTarget]

 クラウドサービスの脆弱(ぜいじゃく)性とオンプレミスシステムの脆弱性の扱いの違いが、セキュリティ研究者とベンダーの間に亀裂を生んでいる。脆弱(ぜいじゃく)性識別子「CVE」(Common Vulnerabilities and Exposures)は、ベンダーがIT製品のセキュリティの欠陥を修正あるいは公表したことを示すための識別子だ。CVEは

  • 脆弱性の詳細
  • 脆弱性が悪用された場合の影響
  • 脆弱性を発見した研究者の名前

を記録する。

クラウドサービスの脆弱性にCVEがない理由

 CVEが生まれたのは、企業がほぼ全てのソフトウェアをオンプレミスインフラで運用していた時代だった。CVEの目的は、IT管理者がパッチ適用の優先順位を決めるのに必要な情報を提供することにあった。

 時がたち、クラウドサービスが台頭した。クラウドサービスはアプリケーションとデータのホスティングや管理をベンダーが担う。そのためベンダーがユーザー企業にパッチを配信する必要はない。

 ベンダーがソフトウェアをパッケージ化して提供し、コンピュータで独立して実行されていた時代に、CVEは生まれた。その目的は「そうしたコンピュータ全てが、脆弱性が修正されたソフトウェアを一律に実行できるようにすることだった」と、クラウドセキュリティ推進団体Cloud Security Alliance(CSA)のCEO、ジム・リービス氏は語る。

 クラウドサービスの場合、ユーザー企業は社内のオンプレミスサーバにあるアプリケーションとクラウドサービスを併用することになる。「このときユーザー企業は、プログラムやAPI(アプリケーションプログラミングインタフェース)を通じて膨大な数の未報告の脆弱性を社内システムに取り込む可能性が大きい」とリービス氏は説明する。

 管理者やエンドユーザーにとって、このような脆弱性を自力で修正することは難しい。そうした理由からCVE採番機関のCVE Numbering Authority(CNA)は、クラウドサービスの脆弱性にはCVEを付与しない。トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は、「誰が脆弱性を修正するのかが重要だ」と指摘する。

 CVEは、それを見た人が修正あるいは緩和のために行動しなければならないことを知らせるためのものだ。クラウドサービスの脆弱性については、まれにユーザー企業が一部の機能を無効にするといった対策を講じることが可能な場合はある。ただし「一般的にユーザー企業は行動せず、行動したいと思っても何もできない」とチャイルズ氏は話す。この慣行が問題の要因になったり、ユーザー企業のデータに影響を及ぼしたりする可能性があるという。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news069.jpg

テレビ派? 有料動画配信派? おすすめの作品は? アニメに関する調査(2024年)
クロス・マーケティングは、国民的メジャーコンテンツに成長したアニメの視聴状況につい...

news106.jpg

広告収入稼ぎの低品質サイト「MFA」を排除するため、マーケターにできることとは?
MFA(Made For Advertising)サイトの本質的な問題点とは何か。マーケターはMFA排除のた...

news036.jpg

“なんちゃってマック”で「チキンビッグマック」体験etc. 米マクドナルドのマルチチャネル過ぎるキャンペーン
McDonald’sは米国での「チキンビッグマック」新発売に当たり、若年層とのつながりを強化...