2021年12月07日 05時00分 公開
特集/連載

クラウドサービスの脆弱性に「CVE」がない“なるほどの理由”クラウドサービスの脆弱性にCVEは必要か【第1回】

IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。

[Shaun Nichols,TechTarget]

 クラウドサービスの脆弱(ぜいじゃく)性とオンプレミスシステムの脆弱性の扱いの違いが、セキュリティ研究者とベンダーの間に亀裂を生んでいる。脆弱(ぜいじゃく)性識別子「CVE」(Common Vulnerabilities and Exposures)は、ベンダーがIT製品のセキュリティの欠陥を修正あるいは公表したことを示すための識別子だ。CVEは

  • 脆弱性の詳細
  • 脆弱性が悪用された場合の影響
  • 脆弱性を発見した研究者の名前

を記録する。

 CVEが生まれたのは、企業がほぼ全てのソフトウェアをオンプレミスインフラで運用していた時代だった。CVEの目的は、IT管理者がパッチ適用の優先順位を決めるのに必要な情報を提供することにあった。

クラウドサービスの脆弱性にCVEがない理由

 時がたち、クラウドサービスが台頭した。クラウドサービスはアプリケーションとデータのホスティングや管理をベンダーが担う。そのためベンダーがユーザー企業にパッチを配信する必要はない。

 ベンダーがソフトウェアをパッケージ化して提供し、コンピュータで独立して実行されていた時代に、CVEは生まれた。その目的は「そうしたコンピュータ全てが、脆弱性が修正されたソフトウェアを一律に実行できるようにすることだった」と、クラウドセキュリティ推進団体Cloud Security Alliance(CSA)のCEO、ジム・リービス氏は語る。

 クラウドサービスの場合、ユーザー企業は社内のオンプレミスサーバにあるアプリケーションとクラウドサービスを併用することになる。「このときユーザー企業は、プログラムやAPI(アプリケーションプログラミングインタフェース)を通じて膨大な数の未報告の脆弱性を社内システムに取り込む可能性が大きい」とリービス氏は説明する。

 管理者やエンドユーザーにとって、このような脆弱性を自力で修正することは難しい。そうした理由からCVE採番機関のCVE Numbering Authority(CNA)は、クラウドサービスの脆弱性にはCVEを付与しない。トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は、「誰が脆弱性を修正するのかが重要だ」と指摘する。

 CVEは、それを見た人が修正あるいは緩和のために行動しなければならないことを知らせるためのものだ。クラウドサービスの脆弱性については、まれにユーザー企業が一部の機能を無効にするといった対策を講じることが可能な場合はある。ただし「一般的にユーザー企業は行動せず、行動したいと思っても何もできない」とチャイルズ氏は話す。この慣行が問題の要因になったり、ユーザー企業のデータに影響を及ぼしたりする可能性があるという。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news212.jpg

面白い広告は記憶に残るが、ユーモアを活用できている企業は少ない――Oracle調査
ユーモアを取り入れたブランドは支持され、ロイヤルティーが高まり、顧客は再び購入した...

news054.jpg

マクドナルドvsバーガーキング ネット戦略がウマいのはどっち?
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news118.jpg

マーケターなら知っておきたい「Googleが次に可能にすること」 Google I/O 2022で発表の新機能まとめ
「検索」「地図」「ショッピング」他、Googleが年次開発者会議「Google I/O 2022」で紹介...