グーグル、OSSの脆弱性を記述するための共通フォーマットを公開

今回は「グーグル、OSSの脆弱性を記述するための共通フォーマットを公開」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　業務改善の専門家であり、多くの著書を持つH. James Harrington氏は、「測定できないものを理解することはできず、理解できないものを制御することはできず、制御できないものを改善することはできない」と述べている。Googleはこの助言に従って、異なるオープンソースエコシステム間で脆弱性情報を交換するための統一的な脆弱性記述方式を導入することで、オープンソースのセキュリティを強化しようとしている。

　これはとても重要な問題だ。基本的な問題として、現状では、脆弱性データベースが数多く存在しているにもかかわらず、脆弱性に関する情報を記述するための標準的な共通フォーマットが存在していない。このため、複数のデータベースの情報を集約しようとすれば、それぞれの情報を個別に処理する必要がある。これでは時間とエネルギーが無駄になってしまう。

　そこでGoogleは、「Open Sourdce Vulnerability」（OSV）のデータベースや脆弱性のデータセット「OSS-Fuzz」で積み上げてきた成果をもとに、共通フォーマットの作成に取り組むことにした。GoogleのオープンソースセキュリティチームやGoチームに加え、さまざまなオープンソースコミュニティーがこのシンプルな脆弱性情報共通フォーマットの作成に参加している。

　その結果、今ではOSVとそのスキーマが拡張され、そのフォーマットがGo、Rust、Python、DWFなどの有力なオープンソースエコシステムでも利用されている。

　この共通フォーマットは、オープンソースの脆弱性を管理する上での幾つかの重要な問題を解決することを目指したものだ。このフォーマットには次のような特徴がある。

　この共通フォーマットはまだ完成しているわけではない。作業チームは、最終版の決定を前に、第三者からのフィードバックを募集している。このフォーマットは既に現在公開されている多くの脆弱性データベースで使われており、今後このフォーマットを採用するデータベースは増える見込みだ。

　またOSVは、これらの脆弱性データベースを全て集約し、同プロジェクトのウェブから閲覧できるサービスを提供している。また、OSVの既存のAPIから、コマンド1つでクエリーを実行することもできる。

ウェビナー開催「DX時代に求められる IT×スマートファクトリー -IoT導入に潜むセキュリティの落とし穴 ...

DX時代、IoTを活用しての、全体安全（多層防御）・アジャイル・統合運用(コスト)を 如何にバランスよく実現するかというご要望が増えてきております。 既に導入が進んでいる、ＩｏＴ活用において セキュリティ対策は重大事故を […]

世界の Ciso（最高情報セキュリティ責任者）が感じる仕事のやりがいとは？ プルーフポイント調査 ...

日本プルーフポイントは、世界の最高情報セキュリティ責任者（CISO）が直面している主要な課題を調査した「2021 Voice of the CISO（CISO 意識調査レポート）」の日本語版を発表した。

アイディホームで顧客情報7000件流出、下請け名乗る勧誘業者が営業行為｜サイバーセキュリティ.com

画像：アイディホーム株式会社より引用 不動産会社のアイディホーム株式会社は2021年6月23日、同社が保有する顧客リストが外部企業に流出したことにより、過去同社東海エリアで物件を購入した顧客に対して、流出情報を利用した形での勧誘行為が

自動運転車セキュリティ入門 第2回：センサー・カメラに対する物理的攻撃 | 調査研究/ブログ | 三井物産セキュア ...

本連載は「自動運転車セキュリティ入門」と題し、ディープラーニング・モデルを採用した自動運転車に対する攻撃手法と防御手法を取り上げていきます。本連載を読むことで、自動運転車セキュリティの全体像が俯瞰できるようになるでしょう。今回は第２回「センサー・カメラに対する物理的攻撃」です。

DevSecOpsが浸透しない日本企業 実現を阻むセキュリティ課題とは (1/2)：EnterpriseZine ...

　短い期間により多くのソフトウェアを世に送り出すニーズが高まるにつれて、新たな開発手法の1つとして注目を集めているのがDevSecOpsだ。コロナ禍を機にセキュリティに対する関心が高まる状況下においては、DevOpsにセキュリティを融合させたDevSecOpsの実現を目指している企業も多いだろう。そこで今回は、Contrast Security Japan 田中一成氏にDevSecOps実現を阻む要因と解決方法について尋ねた。

macOSの安全神話が崩壊、高度な攻撃にも対応可能なセキュリティ強化策とは？ - ホワイトペーパー [エンドポイント ...

macOSのシェアが高まり、頭角を現す一方で、「Windowsに比べてウイルスに感染しにくい」という安全神話が崩壊しつつある。従来型アンチウイルスソフトをすり抜ける高度な攻撃が増加する中、どうセキュリティを強化すべきだろうか。

【実録】とある企業が襲われたテレワーク故のサイバー攻撃とその対処! - 【キーマンズネット】It、It製品の比較 ...

【実録】とある企業が襲われたテレワーク故のサイバー攻撃とその対処！のITセミナー情報です。キーマンズネットはIT製品の導入をサポートします！スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。

Vectra AI 「Cognito Platform」の販売を開始 - ネットワークに潜む脅威を可視化、AIによる ...

最新投稿日時:2021/06/28 12:48 - 「Vectra AI 「Cognito Platform」の販売を開始 - ネットワークに潜む脅威を可視化、AIによる早期検知を実現する次世代ネットワークAIセキュリティ -」（PR TIMES）

マイナンバーを含む個人情報漏えいの原因は、ほとんどが書類紛失｜セキュリティ通信

【セキュリティ通信】個人情報保護委員会が2020年度の年次報告を公表した。同日、LINEの個人情報取り扱い問題に関する第一次レポートも公開になったが、即時対応されると考えられていた、中国からのデータ移管が、2024年までかけて順次行われるものであったことが判明した。

Ciso（最高情報セキュリティ責任者）はどこに仕事のやりがいを感じているのか？ (2021年6月28日 ...

日本のCISOと海外のCISOでは、問題意識や今後の重要領域などに、いったいどんな差があるのか、グローバルで実施された調査結果から浮かび上がった洞察を報告する。米Proofpoint社が世界のCISO...(2/4)

テレワークを阻む「セキュリティ」「勤怠管理」「生産性」、一発解消する特効薬とは ｜ビジネス+It

新型コロナウイルスの感染拡大を景気に、企業のテレワーク導入は加速した。しかし、いったん導入したものの、取りやめてしまう企業も多い。ニューノーマルの働き方を前提に変革を進めるのであれば、テレワークに合わせた新たなITインフラを整え、各種ITツールを使いこなし、業務プロセスを改革していくことが理想だが、思うように進んでいないのが実情だ。企業のテレワーク移行を阻む要因はどこにあるのだろうか。

次世代アンチウイルスとedrを組み合わせた、ファイルレス攻撃への対抗策とは - ホワイトペーパー [エンドポイント ...

侵入前提で脅威に対抗するEDR（Endpoint Detection and Response）だが、脅威の検知自体を難しくするファイルレス攻撃も増加している。こうした新たな脅威への対策として、アンチウイルスの進化が求められている。

複合機/プリンターがJBMIA「事務機セキュリティプログラム」制度に適合｜セイコーエプソン㈱のプレスリリース

セイコーエプソン(株)のプレスリリース（2021年6月28日 11時00分）複合機/プリンターがJBMIA[事務機セキュリティプログラム]制度に適合

カスペルスキーが2021年度の事業方針 - セキュリティ啓発オンライントレーニングを発表｜2ページ目｜セキュリティ ...

カスペルスキーは6月24日、オンラインで事業方針および法人向け新オンライントレーニングサービスに関する記者説明会を開催した。（2ページ目）

日商エレ、Azure利用企業のコスト削減やセキュリティ強化を支援するアセスメントサービス - クラウド Watch

日商エレクトロニクス株式会社（以下、日商エレ）は28日、Microsoft Azureの利用企業に向け、コスト削減やセキュリティ強化を支援する ...

情報セキュリティ方針 | ニッセン・クレジットサービス株式会社

情報セキュリティ理念 法を遵守し、企業が保有する情報を安全に管理しながら、有効且つ迅速に活用して、事業目標を達成させることが、今日の情報化社会における企業経営に求められています。

日商エレ、Microsoft Azureのコスト削減やセキュリティ強化を診断する「Cloud 健康診断 for ...

日商エレクトロニクス株式会社(本社：東京都千代田区、代表取締役社長CEO：寺西 清一、以下、日商エレ)は、マイクロソフトが提供するクラウドプラットフォーム「Mi…

最新のATT&CK Evaluations（Carbanak, FIN7）におけるトレンドマイクロの評価結果 ...

MITRE EngenuityによるATT&CK Evaluationsは、特定のサイバー犯罪者グループの攻撃に対するセキュリティベンダの検知能力の評価を行うものです。 一方で、ベンダに対する採点や順位付けなどの評定は行いません。かわりに、特定のサイバー犯罪者グループによる攻撃をセキュリティベンダがどのよう ...

日商エレ、Azureの利用状況を診断してコストやセキュリティをアセスメントするサービス | IT Leaders

日商エレクトロニクスは2021年6月28日、Microsoft Azureを利用する企業に向けて、その利用コストやセキュリティ状況のアセスメントサービス「Cloud 健康診断 for Microsoft Azure」を発表した。同年6月1日から提供している。先行してサービスを利用したユーザー企業では、平均してコストを5％削減できたとしている。

無料のメールフォーム作成ツール「EasyMail（イージーメール）」にセキュリティ強化のための新機能を追加しました ...

【Web担】株式会社ファーストネットジャパン（本社：大阪府大阪市、代表取締役：齊藤 真也）は、無料で利用できるメールフォーム作成ツール「EasyMail（イージーメール）」（https://www.mubag.com/）は、2021年6月25日セキュリティ強化のため、管理画面にログインするためのパスワードをより強固にする自動生成機能を追加しました。

不正アクセス受け社内データが海外に転送｜株式会社ヤマシタ｜サイバーセキュリティ.com

画像：株式会社ヤマシタより引用 株式会社ヤマシタは2021年6月22日、同社の社内サーバーが何者かのサイバー攻撃を受けたことにより、個人情報を含む格納データが海外サーバーに転送されたと明らかにしました。 発表によると同社は202

日商エレ、Microsoft Azureのコスト削減やセキュリティ強化を診断する「Cloud 健康診断 for ...

日商エレクトロニクス株式会社のプレスリリース：日商エレ、Microsoft Azureのコスト削減やセキュリティ強化を診断する「Cloud 健康診断 for Microsoft Azure」を提供開始

情シスのためのAVD（Azure Virtual Desktop）WEBセミナー ～セキュリティ強化と負荷軽減が同時 ...

「セキュリティを学んで、自分も子供も守ってほしい!」 大原理紗さん; 情シスリーダーのための時間管理術4 「優先順位」を気にしすぎるのは時間管理ができてない証拠？ スパムフィルタと人工知能との戦いに ; 使える! 情シス三段用語辞典03 「標的型 ...

ASCII.jp：タビィコム株式会社、内閣官房内閣サイバーセキュリティセンター(NISC)の LINE利用 ...

タビィコム株式会社、内閣官房内閣サイバーセキュリティセンター(NISC)の LINE利用ガイドラインに対応したSNS相談システムの提供を開始

日商エレ、Microsoft Azureのコスト削減やセキュリティ強化を診断..（日商エレクトロニクス株式会社 ...

日商エレクトロニクス株式会社(本社：東京都千代田区、代表取締役社長CEO：寺西 清一、以下、日商エレ)は、マイクロソフトが提供するクラウドプラットフォーム「Microsoft Azure(以下Azure)」を利用している企業に向けて、平均5パーセントのコスト削減やセキュリティ強化を診断するアセスメントサービス「Cloud 健康診断 for Microsoft Azure」を6月1日に提供開始しました。

KLab株式会社 情報セキュリティスペシャリスト【正社員・契約】 の求人情報｜シリコンスタジオエージェント

KLab株式会社／情報セキュリティスペシャリスト【正社員・契約】（東京都, 要相談, 在宅勤務可／正社員, 契約社員）の仕事内容詳細・応募資格・給与などの求人・転職情報。｜シリコンスタジオエージェントは【ゲーム・映像業界】特化の転職エージェント・他にはない求人、転職、中途採用情報が満載。

セキュリティスタッフ株式会社の求人情報｜求人・転職情報サイト【はたらいく】

セキュリティスタッフ株式会社の求人・転職情報なら【はたらいく】あなたの知りたい企業情報が充実!独自の「仕事観検索」では、安定性、働き甲斐など自分の仕事観から検索が可能。自己pr・志望動機の書き方サポートもあり!あなたらしい転職を応援。

セキュリティスタッフ（充実の研修あり／有給消化率100％）★Alsokグループ（1088428）（応募資格：＜未経験 ...

alsok京滋株式会社のセキュリティスタッフ（充実の研修あり／有給消化率100％）★alsokグループ（1088428）の転職・求人情報。日本最大級の求人情報数を誇る転職サイト【エン転職】。専任スタッフによる書類選考対策や面接対策に役立つ無料サービスが充実。

「軽のsuv! ハスラーにcliffordセキュリティ!」ミラージュの蜃気楼のブログ ｜ Mirageの、愛車はこう ...

「軽のSUV！ ハスラーにCLIFFORDセキュリティ！」ミラージュの蜃気楼のブログ記事です。自動車情報は日本最大級の自動車SNS「みんカラ」へ！