クラウドサービスの脆弱性が見えにくい現状を打破するため、セキュリティ専門家がクラウドサービスの脆弱性公開の枠組みを考案した。その要件とは何か。どのようなメリットをもたらすのか。
クラウドサービスの脆弱(ぜいじゃく)性が公になるプロセスには、さまざまな問題が残っている。それらの問題を是正するための取り組みが、脆弱性識別子「CVE」(Common Vulnerabilities and Exposures)の制度改革だ。クラウドセキュリティベンダーWizの研究チームは、セキュリティカンファレンス「Black Hat 2021」のセッションで、クラウドサービス向けのCVEの枠組みを提唱した。
クラウドサービスでも不都合のない新たな脆弱性識別子「UVI」(Universal Vulnerability Identifier)策定の取り組みも始まっている。UVIは、迅速で利用しやすく、オープンソースソフトウェア(OSS)やクラウドサービスの脆弱性に関する特異な状況もカバーできる識別子を目指す。
脆弱性公開の仕組みを見直すことは、ベンダーとセキュリティ研究者の両方に満足感をもたらし得る。その結果、クラウドサービスの透明性や明白性が高まると考えられる。
クラウドセキュリティ推進団体Cloud Security Alliance(CSA)のCEOであるジム・リービス氏が、クラウドサービスの脆弱性公開に必要だと考える仕組みの条件は以下の通りだ。
こうした仕組みがあれば、脆弱性のさらなる詳細が明らかになったときに脆弱性情報が充実する。CVEやセキュリティベンダー独自の脆弱性データベースと連携させることも可能になる。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...
YouTubeやTikTokの利用時間、20代以下ではテレビを圧倒 どれだけ差がついた?
YouTubeやTikTokでのコンテンツ視聴は購買行動に関係しているのか。PRIZMAが10代から30代...