クラウドサービスの脆弱(ぜいじゃく)性とオンプレミスシステムの脆弱性の扱いの違いが、セキュリティ研究者とベンダーの間に亀裂を生んでいる。脆弱(ぜいじゃく)性識別子「CVE」(Common Vulnerabilities and Exposures)は、ベンダーがIT製品のセキュリティの欠陥を修正あるいは公表したことを示すための識別子だ。CVEは
を記録する。
CVEが生まれたのは、企業がほぼ全てのソフトウェアをオンプレミスインフラで運用していた時代だった。CVEの目的は、IT管理者がパッチ適用の優先順位を決めるのに必要な情報を提供することにあった。
時がたち、クラウドサービスが台頭した。クラウドサービスはアプリケーションとデータのホスティングや管理をベンダーが担う。そのためベンダーがユーザー企業にパッチを配信する必要はない。
ベンダーがソフトウェアをパッケージ化して提供し、コンピュータで独立して実行されていた時代に、CVEは生まれた。その目的は「そうしたコンピュータ全てが、脆弱性が修正されたソフトウェアを一律に実行できるようにすることだった」と、クラウドセキュリティ推進団体Cloud Security Alliance(CSA)のCEO、ジム・リービス氏は語る。
クラウドサービスの場合、ユーザー企業は社内のオンプレミスサーバにあるアプリケーションとクラウドサービスを併用することになる。「このときユーザー企業は、プログラムやAPI(アプリケーションプログラミングインタフェース)を通じて膨大な数の未報告の脆弱性を社内システムに取り込む可能性が大きい」とリービス氏は説明する。
管理者やエンドユーザーにとって、このような脆弱性を自力で修正することは難しい。そうした理由からCVE採番機関のCVE Numbering Authority(CNA)は、クラウドサービスの脆弱性にはCVEを付与しない。トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は、「誰が脆弱性を修正するのかが重要だ」と指摘する。
CVEは、それを見た人が修正あるいは緩和のために行動しなければならないことを知らせるためのものだ。クラウドサービスの脆弱性については、まれにユーザー企業が一部の機能を無効にするといった対策を講じることが可能な場合はある。ただし「一般的にユーザー企業は行動せず、行動したいと思っても何もできない」とチャイルズ氏は話す。この慣行が問題の要因になったり、ユーザー企業のデータに影響を及ぼしたりする可能性があるという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
面白い広告は記憶に残るが、ユーモアを活用できている企業は少ない――Oracle調査
ユーモアを取り入れたブランドは支持され、ロイヤルティーが高まり、顧客は再び購入した...
マクドナルドvsバーガーキング ネット戦略がウマいのはどっち?
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...
マーケターなら知っておきたい「Googleが次に可能にすること」 Google I/O 2022で発表の新機能まとめ
「検索」「地図」「ショッピング」他、Googleが年次開発者会議「Google I/O 2022」で紹介...