| 仕様一覧 | [top] |
|---|
|
|
|
| 関連資料一覧 | [top] |
|---|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/CSEC09044048.pdf
- MyJVN を用いた脆弱性対策情報提供サービスの検討
- 情報処理学会 コンピュータセキュリティ 研究報告 Vol.2009 No.20, pp.283-288 (Mar. 5-6, 2009)
-
- MyJVN は、処理の機械化や自動化を考慮した流通基盤上に、JVN の脆弱性対策情報を用いたサービス
を構築するフレームワークである。しかしながら、流通基盤上で交換される情報は文書情報であり、脆弱性の有無をチェックして対策を促すなどの脆弱性対策に関わる処理の機械化については発展途上にある。本稿では、脆弱性対策情報の流通基盤の拡張として、セキュリティ問題をチェックする手続き仕様OVAL (Open Vulnerability Assessment Language)を用いた脆弱性対策に関わる処理の機械化を提案すると共に、開発したプロトタイプシステムについて述べる。
|
|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/A6_1.pdf
- CWEを用いた脆弱性分類の検討
- 情報処理学会 コンピュータセキュリティ シンポジウム 2008 (Oct.8-10, 2008)
-
- ソフトウェア等の脆弱性が社会に与える影響が広まりつつある一方、脆弱性そのものが持つ特質や分類などに関する共通の指標は少ない。独自の基準により脆弱性分類を行っている組織があるが、この基準は共通化されていない。近年、脆弱性用語の共通言語として、CWE(Common Weakness Enumeration)が注目されつつある。本稿では、情報セキュリティ早期警戒パートナーシップに基づき報告された脆弱性関連情報を、CWEを用いて分類した結果について述べると共に、分類基準に関する課題について述べる。
|
|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/A6_5.pdf
- 脆弱性対策情報の利活用基盤MyJVN の提案
- 情報処理学会 コンピュータセキュリティ シンポジウム 2008 (Oct.8-10, 2008)
-
- 国内においても、様々な層での脆弱性対策情報の提供が充実してきている。しかし、対策情報の多くは主に文書として構成されているために、脆弱性の有無をチェックして対策を促すなどの脆弱性対策に関わる処理の機械化については発展途上にある。本稿では、脆弱性対策に関わる処理の機械化を目指すフレームワークMyJVN を提案する。また、MyJVN の具体的な取り組みとして、プラットフォーム識別子、Web サービスAPI、XML フォーマットの整備と、JVN の脆弱性対策情報を用いたサービスとして、製品視点から対策情報を選別するフィルタリング型情報提供サービスの実装について報告する。
|
|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/139_b.pdf
- 共通脆弱性評価システムCVSSの現状と展望
- 電子情報通信学会 2008年 暗号と情報セキュリティシンポジウム (Jan.22-25, 2008)
-
- 日々大量に報告される脆弱性関連情報にシステム管理者が対応するためには、優先順位をつけるための指標が必要である。CVSS は、特定のベンダによらない、開かれた脆弱性評価指標であり、国内外の組織で採用が進んでいる。本稿では、情報セキュリティ早期警戒パートナーシップに基づき報告された脆弱性関連情報を、IPA がCVSS を用いて評価した結果について現状を報告し、今後解決すべき課題と展望について述べる。
|
|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/3c_3.pdf
- CVSS を用いた脆弱性評価の検討
- 情報処理学会 コンピュータセキュリティ シンポジウム 2006 (Oct.25-27, 2006)
-
- ソフトウエアの脆弱性が社会に与える影響が広まりつつある一方、脆弱性そのものが持つ特質や深刻度などに関する定量的な指標や評価情報は少ない。独自の基準により脆弱性評価を行っているセキュリティ企業があるが、この基準は共通化されていない。近年、脆弱性の深刻度を理解するための共通言語として、CVSS(Common Vulnerability Scoring System)という脆弱性評価基準が検討されている。本稿では、情報セキュリティ早期警戒パートナーシップに基づき報告された脆弱性関連情報を、CVSS を用いて評価した結果について述べると共に、評価基準に関する課題について述べる。
|
|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/2a_3.pdf
- JVNRSS を用いた脆弱性対策情報の流通
- 情報処理学会 コンピュータセキュリティ シンポジウム 2006 (Oct.25-27, 2006)
-
- 対策情報は主にHTML ベースの情報として構成されているために、脆弱性対策情報を展開する際に、Web サイトから情報を集め必要な部分を抽出して再構成する操作や集めてきた情報のグループ化操作など、情報の再活用において柔軟さが欠けている。本稿では、共通の書式でドキュメントの見出し、要約などのリストを提供するJVNRSS(JP Vendor Status Notes RDF Site Summary)を用いたセキュリティ情報の流通を提案すると共に、その試行について述べる。
|
|
|
- http://jvnrss.ise.chuo-u.ac.jp/jtg/doc/9A-4.pdf
- マルチベンダ環境の情報システムを対象とした脆弱性管理システムの検討
- 情報処理学会 コンピュータセキュリティ シンポジウム 2005 (Oct.26-28, 2005)
-
- 情報システムを構成するソフトウェア環境は、提供形態ならびに複数のバージョンの混在という視点から見て、多様化が進んでいる。このため、脆弱性対策にあたり、文書という対策情報提供の形態だけで脆弱性の影響有無を判定するという手法では、検査の抜け漏れを完全に防ぐことは難しい。そこで、本稿では、現行の情報システムの脆弱性を管理するために求められる要件を提示すると共に、これら要件を満たすための脆弱性管理システムを提案する。脆弱性管理システムは、パターンファイルによる脆弱性の影響を受けるか否かを判定する機能をベースとし、パターンファイルの配布ならびに、脆弱性による深刻度算出を含んだ機能を提供する。
|
|
|
- http://fw8.bookpark.ne.jp/cm/ipsj/search.asp?flag=6&keyword=IPSJ-JNL4605016&mode=PDF
- 脆弱性対策情報データベースJVNの提案
- 情報処理学会論文誌 Vol.46 No.5 (2005)
-
-
- インターネットの常時接続の普及にともない、マルウェアの流布を含む不正アクセス活動は活発化しており、また、その被害も広範囲かつ多岐にわたるようになってきている。しかし、不正アクセス対策を行うために必要となる、国内で利用されているソフトウェアや装置を対象とする脆弱性対策情報については、「情報が散々している」「影響範囲の把握が難しい」などの解決すべき課題がある。本論文では、このような課題を解決し、国内でのセキュリティ対策推進を支援するために、国内で利用されているソフトウェアや装置の脆弱性を対象とした対策情報データベースJVN(JP Vendor Status Notes)を提案する。さらに、提案に基づき構築したWeb 試行サイトの運用を通して得られた利用状況から構築したシステムでの情報提供の有効性を確認した。
|
|
|
- http://jvn.doi.ics.keio.ac.jp/nav/2004-csec-25-7.pdf
- Status Tracking Notes;時系列イベント情報の共有
- 情報処理学会 コンピュータセキュリティ 研究報告 Vol.2004 No.025 (May.21, 2004)
-
- JVN (JPCERT/CC Vendor Status Notes) サイトを含め、国内における対策情報の提供環境は整備されてきているが、「脆弱性に関わる状況変化の情報共有」という観点での情報提供環境については整備されていない。本稿では、課題として取り上げる「脆弱性に関わる状況変化の情報共有」の具体的な事例を提示すると共に、解決の施策として「Status Tracking Notes;時系列イベント情報の共有」と呼ぶ情報流通と、これら情報流通を支援するための対策情報用のXMLフォーマットを提案する。
|
|
|
- http://jvn.doi.ics.keio.ac.jp/nav/2003-csec-21-40.pdf
- RDF Site Summary を用いたセキュリティ情報流通に関する検討
- 情報処理学会 コンピュータセキュリティ 研究報告 Vol.2003 No.022 (Jul.17-18, 2003)
-
- 現在のセキュリティ情報の流通は、HTMLベースのWebページ情報として構成されているために、散在しているWebサイトから、情報の断片を集め再構成する、情報間の関連付けを行なうなどの情報の再活用において柔軟さが欠けている。本稿では、セマンティックWebのキー技術であるRDFを使用して、XMLフォーマットに共通の書式でドキュメントの見出し、要約などのリストを提供するRSS (RDF Site Summary) を用いたセキュリティ情報の流通の利用例について述べる。
|
|
|
- http://jvn.doi.ics.keio.ac.jp/nav/CSS02-P-97.pdf
- JPCERT/CC Vendor Status Notes DB 構築に関する検討
- 情報処理学会 コンピュータセキュリティ シンポジウム 2002 (Oct.30-Nov.1, 2002)
-
- インターネットの常時接続の普及に伴い、マルウェアの流布を含む不正アクセス活動は活発化しており、また、その被害も広範囲かつ多岐に渡るようになってきている。しかし、不正アクセス対策を行なうために必要となる、国内で利用されているソフトウェアや装置を対象とする脆弱性情報ならびに対策情報については、「情報が散々している」「影響範囲の把握が難しい」などの解決すべき課題がある。本稿では、このような課題を解決し、国内でのセキュリティ対策推進を支援するために、国内で利用されているソフトウェアや装置の脆弱性を対象とした対策情報データベース(JVN: JPCERT/CC Vendor Status Notes Data Base)の構築について述べる。
|
|
|
|
