クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”：クラウドサービスの脆弱性にCVEは必要か【第1回】

IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。

[Shaun Nichols，TechTarget]

　クラウドサービスの脆弱（ぜいじゃく）性とオンプレミスシステムの脆弱性の扱いの違いが、セキュリティ研究者とベンダーの間に亀裂を生んでいる。脆弱（ぜいじゃく）性識別子「CVE」（Common Vulnerabilities and Exposures）は、ベンダーがIT製品のセキュリティの欠陥を修正あるいは公表したことを示すための識別子だ。CVEは

• 脆弱性の詳細
• 脆弱性が悪用された場合の影響
• 脆弱性を発見した研究者の名前

を記録する。

併せて読みたいお薦め記事

脆弱性への向き合い方

• 脆弱性を探すバグハンターは、なぜAppleにうんざりするのか
• Exchange Server脆弱性問題で考える「なぜパッチの適用は進まないのか」

　CVEが生まれたのは、企業がほぼ全てのソフトウェアをオンプレミスインフラで運用していた時代だった。CVEの目的は、IT管理者がパッチ適用の優先順位を決めるのに必要な情報を提供することにあった。

クラウドサービスの脆弱性にCVEがない理由

　時がたち、クラウドサービスが台頭した。クラウドサービスはアプリケーションとデータのホスティングや管理をベンダーが担う。そのためベンダーがユーザー企業にパッチを配信する必要はない。

　ベンダーがソフトウェアをパッケージ化して提供し、コンピュータで独立して実行されていた時代に、CVEは生まれた。その目的は「そうしたコンピュータ全てが、脆弱性が修正されたソフトウェアを一律に実行できるようにすることだった」と、クラウドセキュリティ推進団体Cloud Security Alliance（CSA）のCEO、ジム・リービス氏は語る。

　クラウドサービスの場合、ユーザー企業は社内のオンプレミスサーバにあるアプリケーションとクラウドサービスを併用することになる。「このときユーザー企業は、プログラムやAPI（アプリケーションプログラミングインタフェース）を通じて膨大な数の未報告の脆弱性を社内システムに取り込む可能性が大きい」とリービス氏は説明する。

　管理者やエンドユーザーにとって、このような脆弱性を自力で修正することは難しい。そうした理由からCVE採番機関のCVE Numbering Authority（CNA）は、クラウドサービスの脆弱性にはCVEを付与しない。トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は、「誰が脆弱性を修正するのかが重要だ」と指摘する。

　CVEは、それを見た人が修正あるいは緩和のために行動しなければならないことを知らせるためのものだ。クラウドサービスの脆弱性については、まれにユーザー企業が一部の機能を無効にするといった対策を講じることが可能な場合はある。ただし「一般的にユーザー企業は行動せず、行動したいと思っても何もできない」とチャイルズ氏は話す。この慣行が問題の要因になったり、ユーザー企業のデータに影響を及ぼしたりする可能性があるという。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。