IT製品に脆弱性が存在することが判明したら、専門機関が脆弱性に「CVE」を付与することが通例だ。だがクラウドサービスはそうではない。理由を歴史的背景に沿って解説する。
クラウドサービスの脆弱(ぜいじゃく)性とオンプレミスシステムの脆弱性の扱いの違いが、セキュリティ研究者とベンダーの間に亀裂を生んでいる。脆弱(ぜいじゃく)性識別子「CVE」(Common Vulnerabilities and Exposures)は、ベンダーがIT製品のセキュリティの欠陥を修正あるいは公表したことを示すための識別子だ。CVEは
を記録する。
CVEが生まれたのは、企業がほぼ全てのソフトウェアをオンプレミスインフラで運用していた時代だった。CVEの目的は、IT管理者がパッチ適用の優先順位を決めるのに必要な情報を提供することにあった。
時がたち、クラウドサービスが台頭した。クラウドサービスはアプリケーションとデータのホスティングや管理をベンダーが担う。そのためベンダーがユーザー企業にパッチを配信する必要はない。
ベンダーがソフトウェアをパッケージ化して提供し、コンピュータで独立して実行されていた時代に、CVEは生まれた。その目的は「そうしたコンピュータ全てが、脆弱性が修正されたソフトウェアを一律に実行できるようにすることだった」と、クラウドセキュリティ推進団体Cloud Security Alliance(CSA)のCEO、ジム・リービス氏は語る。
クラウドサービスの場合、ユーザー企業は社内のオンプレミスサーバにあるアプリケーションとクラウドサービスを併用することになる。「このときユーザー企業は、プログラムやAPI(アプリケーションプログラミングインタフェース)を通じて膨大な数の未報告の脆弱性を社内システムに取り込む可能性が大きい」とリービス氏は説明する。
管理者やエンドユーザーにとって、このような脆弱性を自力で修正することは難しい。そうした理由からCVE採番機関のCVE Numbering Authority(CNA)は、クラウドサービスの脆弱性にはCVEを付与しない。トレンドマイクロの脆弱性発見コミュニティーZero Day Initiativeのコミュニケーションディレクターを務めるダスティン・チャイルズ氏は、「誰が脆弱性を修正するのかが重要だ」と指摘する。
CVEは、それを見た人が修正あるいは緩和のために行動しなければならないことを知らせるためのものだ。クラウドサービスの脆弱性については、まれにユーザー企業が一部の機能を無効にするといった対策を講じることが可能な場合はある。ただし「一般的にユーザー企業は行動せず、行動したいと思っても何もできない」とチャイルズ氏は話す。この慣行が問題の要因になったり、ユーザー企業のデータに影響を及ぼしたりする可能性があるという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
