クラウドセキュリティ団体CSAトップが語る「脆弱性公開の仕組み」に必要な2条件クラウドサービスの脆弱性にCVEは必要か【第4回】

クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。

2021年12月28日 05時00分 公開
[Shaun NicholsTechTarget]

 クラウドサービスの脆弱(ぜいじゃく)性が公になるプロセスには、さまざまな問題が残っている。それらの問題を是正するための取り組みが、脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)の制度改革だ。クラウドセキュリティベンダーWizの研究チームは、セキュリティカンファレンス「Black Hat 2021」のセッションで、クラウドサービス向けのCVEの枠組みを提唱した。

CSAトップが提唱する、クラウドサービスの脆弱性公開の仕組み

 クラウドサービスでも不都合のない新たな脆弱性識別子「UVI」(Universal Vulnerability Identifier)策定の取り組みも始まっている。UVIは、迅速で利用しやすく、オープンソースソフトウェア(OSS)やクラウドサービスの脆弱性に関する特異な状況もカバーできる識別子を目指す。

 脆弱性公開の仕組みを見直すことは、ベンダーとセキュリティ研究者の両方に満足感をもたらし得る。その結果、クラウドサービスの透明性や明白性が高まると考えられる。

 クラウドセキュリティ推進団体Cloud Security Alliance(CSA)のCEOであるジム・リービス氏が、クラウドサービスの脆弱性公開に必要だと考える仕組みの条件は以下の通りだ。

  • 時間の流れに沿って、あらゆる人が編集可能な「Wiki」方式で拡張できること
  • 信頼の置ける脆弱性識別子をオンデマンドで迅速に発行できること

 こうした仕組みがあれば、脆弱性のさらなる詳細が明らかになったときに脆弱性情報が充実する。CVEやセキュリティベンダー独自の脆弱性データベースと連携させることも可能になる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...