新たな脆弱性を追跡するための脆弱性データベース情報源ベスト7

脆弱性とは、攻撃者が侵入して被害を与えることを可能にする弱点であり、設計上の欠陥や設定ミスである場合があります。

脆弱性を悪用するには、攻撃者がシステムの弱点に結び付く適切なツールや手法を持っている必要があります。

本記事では、ソフトウェア、ハードウェア、システムにおける新たに出現する脆弱性を追跡するうえで、脆弱性データベース情報源が持つ重要な意義を強調します。

これらのデータセットがより大きなサイバーセキュリティ・エコシステムの中で果たす役割、それらがどこから来るのか、そしてどのような影響を与えるのかを調査します。

デジタル領域が拡大し続ける中、デジタル資産の保護と情報システムの安全性維持に責任を負う人は誰でも、脆弱性データベースとその仕組みに精通しておく必要があります。

FAQ

1. 一般的なデータベースの脆弱性にはどのようなものがありますか？

SQLインジェクション（SQLi）：攻撃者が入力を操作して不正なSQLコマンドを実行するもの。クロスサイトスクリプティング（XSS）：悪意のあるスクリプトをユーザーのブラウザ上で実行させるもの。

クロスサイトリクエストフォージェリ（CSRF）：認証済みユーザーをだまして意図しない操作を実行させるもの。弱い認証・認可：不正アクセスを許すもの。弱く推測されやすいパスワード。そして不十分なパッチ管理：既知の脆弱性に対してシステムが脆弱なままになるもの。これらの脆弱性からデータの完全性と機密性を守るには、セキュリティ評価、パッチ適用、暗号化が必要です。

2. ソフトウェアの脆弱性はどのデータベースで追跡されていますか？

ソフトウェアの脆弱性は「脆弱性データベース」または「CVEデータベース」で追跡されます。MITRE CorporationのCommon Vulnerabilities and Exposures（CVE）データベースは、多くの組織やセキュリティ専門家と連携して維持されている、最も人気のある脆弱性データベースの一つです。

各ソフトウェア脆弱性にはCVE IDが付与されており、セキュリティコミュニティが参照し情報共有しやすくなっています。ほかにも、米国国立標準技術研究所（NIST）が運用する米国National Vulnerability Database（NVD）などのデータベースが、ソフトウェア欠陥に関する具体的な情報をカタログ化して提供しています。

これらのデータベースは、セキュリティ専門家、ソフトウェア開発者、企業が新たな脆弱性を把握し、システムやアプリケーションを保護するための更新を適用するのに役立ちます。

3. CVEデータベースは誰が維持していますか？

MITRE Corporationは、他の団体やセキュリティ専門家と協力してCommon Vulnerabilities and Exposures（CVE）データベースを更新しています。

Common Vulnerability and Exposures（CVE）データベースは、連邦資金による研究開発センター（FFRDC）を運営する非営利団体であるMITREが、その大部分を管理・キュレーションしています。

Common Vulnerability and Exposures（CVE）データベースは、既知のソフトウェア脆弱性に一意の識別子（CVE ID）を割り当てることで、それらを追跡・参照するための権威ある情報源です。

CVEは、多くの異なる関係者が協力して、セキュリティ専門家や企業がセキュリティリスクに関する重要情報を共有・アクセスしやすくする取り組みにより、包括的で最新の脆弱性ライブラリとしての地位を維持できます。

脆弱性データベース情報源ベスト7一覧:

1. National Vulnerability Database

NVDは、Security Content Automation Protocol（SCAP）を用いて表現された、標準ベースの脆弱性管理データを収録する米国政府のリポジトリです。

このデータにより、脆弱性管理、セキュリティ測定、コンプライアンスの自動化が可能になります。NVDには、セキュリティチェックリスト、セキュリティ関連のソフトウェア欠陥、設定ミス、製品名、影響指標のデータベースが含まれます。

この有用なガイドでは、脆弱性の深刻度、影響、修正可能性が非常に詳細に説明されています。

NVDにアクセスできれば、サイバーセキュリティ分野の専門家はリスク管理、パッチの優先順位付け、効果的なサイバーセキュリティ計画の策定をより適切に行えるようになります。

リソース状況:

79680 CVE 脆弱性
376 チェックリスト
249 US-CERT アラート
4458 US-CERT 脆弱性ノート
10286 OVAL クエリ
115232 CPE 名

2. Common Vulnerabilities And Exposures

国際的な範囲を持ち、一般に無料で利用できるCVEは、公知の情報セキュリティ脆弱性および露出（exposure）の辞書です。CVEの共通識別子により、セキュリティ製品間でのデータ交換が可能になり、ツールやサービスのカバレッジを評価するための基準となるインデックス・ポイントを提供します。

スキャンツールは分類のために最も一般的にCVEを使用します。
SIEMツールは、レポート作成時にCVEの理解を持っています。

CVEのマスターコピーはCVEのWebサイトからダウンロードできます。また、CVE Coverageの目標一覧も確認できます。最新機能として、Common Vulnerability Scoringの計算機が導入されました。

CERT Knowledgebaseは、インシデントおよび脆弱性に関連するインターネットセキュリティ情報のコレクションです。

CERT Knowledgebaseには、公開されているVulnerability Notes Databaseに加え、2つのアクセス制限コンポーネントが収録されています。Vulnerability notesには、概要、技術的詳細、修復情報、影響を受けるベンダーの一覧が含まれます。

3. VulnDB – Vulnerability Intelligence

Risk-Based Securityは、継続的に更新されるデータフィードを通じて包括的な脆弱性インテリジェンスを提供するVulnDBを提供しています。

最大規模かつ最も包括的な脆弱性データベースに基づくVulnDBにより、組織はソフトウェアセキュリティに関する最新の脆弱性情報を取得できます。

VulnDBのデータフィード購読サービスは、タイムリーで正確かつ詳細な脆弱性情報を組織に提供します。

サードパーティライブラリ – 2,000以上のソフトウェアライブラリを特定し、問題を追跡
RESTful API – カスタムCSVエクスポートとの容易なデータ統合、および柔軟なRESTful APIの利用が可能
メールアラート – ベンダー、製品、バージョン、検索条件に基づき、複数のメールアドレス宛にメールアラートを設定可能
リサーチチーム – 当社チームが選定した脆弱性について、原因と影響に関する最も詳細な情報を提供するため、さらに踏み込んだ分析を実施
CVEマッピング – CVE/NVDへのマッピング率は約100%
タイムリーなアラート – 24×365の監視とアラート
リスクスコア – 拡張分類システム、当社のCVSSv2メトリクス、およびVTEM（Vulnerability Timeline and Exposure Metrics）
技術分析 – 脆弱性に対する詳細な分析を提供
詳細情報 – 脆弱性ソース情報、広範な参照、解決策へのリンクなど、70以上のデータフィールド
影響分析
緩和策ガイダンス
セキュリティパッチへのリンク
エクスプロイトへのリンク
ベンダーおよび製品の評価

4. DISA IAVA Database And STIGS

CVE IDは、米国国防情報システム局（DISA）のInformation Assurance Vulnerability Alerts（IAVA）にマッピングされており、そのダウンロードはDISAの公開Security Technical Implementation Guides（STIG）Webサイトに掲載されています。

BeyondTrustのテクノロジー担当VPであるMorey Haber氏は、「DISAベースの脆弱性マッピングデータベースであるIAVAは、既存のSCAPソースに基づいており、時折、商用世界には存在しない政府システム向けの詳細が含まれる」と述べています。

「.govや.milの業務を行うベンダーにとって、この参照は必須です。」

5. Open Vulnerability And Assessment Language

VAL® 国際的な範囲を持ち、一般に無料で利用できるOVALは、コンピュータシステムのマシン状態を評価し報告する方法を標準化するための、情報セキュリティコミュニティによる取り組みです。

OVALには、システム詳細を符号化するための言語と、コミュニティ全体で保持されるさまざまなコンテンツリポジトリが含まれます。

OVALを用いて、システム評価の3つのステップ（システム情報の表現、特定のマシン状態の表現、評価結果の報告）を行うツールやサービスは、企業に対して正確で一貫性があり実行可能な情報を提供し、セキュリティ向上を可能にします。

OVALの利用はまた、信頼性が高く再現可能な保証メトリクス情報を提供し、セキュリティツールやサービス間の相互運用性と自動化を可能にします。

6. National Council of ISACs

vulnerability database list — **National Council of ISACs**

分野別のInformation Sharing and Analysis Centers（ISACs）は、政府と産業界の間で情報を共有するために、重要インフラの所有者および運用者によって設立された、非営利の会員主導組織です。

ISACsの主な目的は、物理的およびサイバー脅威アラート、ならびにその他の重要情報を会員組織へ迅速に周知することです。

貴社が重要インフラ分野で事業を行っている場合、ISACへの加入を検討してください。

以下は、National Council of ISACsに関連するISACのごく一部です。National Council of ISACsのWebサイトには、さらに多くのISACが掲載されています。

MS-ISAC（マルチステート）: MS-ISACは、米国の州・地方・部族・準州（SLTT）政府に対するサイバー脅威の予防、保護、対応、復旧の中核拠点です。

FS-ISAC（金融サービス）: FS-ISACは、サイバーおよび物理的脅威インテリジェンスの分析と共有に関する、世界の金融業界の主要リソースです。

A-ISAC（航空）: 航空ISACは、世界の航空関連企業、運航、サービスを保護するために、航空分野に特化した情報共有と分析機能を提供します。

AUTO-ISAC（自動車）: 自動車ISACは、自動車メーカーおよびサプライヤーが所有・運営する非営利の情報共有組織です。米国の道路を走る車両の98%は、AUTO-ISACの会員企業によって代表されています。

ONG-ISAC（石油・ガス）: 石油・天然ガスISACは、石油・ガス業界全体に存在するサイバーインシデント、脅威、脆弱性、およびそれに伴う対応に関する共有インテリジェンスを提供するために設立されました。

NH-ISAC（国民医療）: 公式の医療情報共有・分析センターは、非営利および営利の医療関係者に対し、サイバーおよび物理的脅威指標、ベストプラクティス、緩和戦略を共有するためのコミュニティとフォーラムを提供します。

IT-ISAC（情報技術）: 会員は、サイバー情報の共有と分析を通じてITインフラを強化するため、国家および国土安全保障の取り組みに参加します。

また、さまざまな業界、グループ、地域に特化したInformation Sharing and Analysis Organizations（ISAO）も増加しています。

ISAOは、特定コミュニティ間でより多くのインテリジェンス共有グループの形成を求めた2015年の大統領令に端を発しています。

7. Mend Vulnerability Database

Mend.ioのオープンソース脆弱性データベースは、200以上のプログラミング言語に加え、300万を超えるオープンソースコンポーネントを調査します。

1日に複数回、National Vulnerability Database（NVD）、セキュリティアドバイザリ、オープンソースプロジェクトの課題トラッカーなど、幅広い情報源からのデータを集約します。

プログラミング言語、CWE種別、CVSS v2.0およびv3.xを含むCVSS深刻度スコア、露出レベル（影響を受けた組織数）、検証済みの推奨修正、適切な修復判断に役立つ追加情報など、オープンソースの脆弱性に対処するために必要なすべてのデータへアクセスし、オープンソースのセキュリティ脆弱性を発見・修正できます。

結論

一方で、脆弱性データベースがすべての脆弱性を網羅しているとは限らず、報告から情報更新までにタイムラグが生じる可能性がある点を念頭に置くことが重要です。

このため、企業には脆弱性管理に対して多面的なアプローチを採用することが強く推奨されます。

この戦略には、継続的な監視、脅威インテリジェンス、そしてこれらのデータベースに記録される範囲を超えた脅威を低減するための能動的なセキュリティ手順を組み込むべきです。

結論として、脆弱性データベースは新たな脆弱性を追跡するための価値ある情報源ですが、進化する脅威からシステムとデータを効果的に保護するため、能動的な監視、脅威評価、対応手順も含む、より大きなサイバーセキュリティ戦略の一部として組み込むべきです。

こちらも読む

翻訳元: https://gbhackers.com/sources-trace-new-vulnerabilities/