JPCERT/CC Eyes

2020年12月4日、MITRE社と国内の2組織から、CNA（CVE Numbering Authority）について発表がありました。

The MITRE Corporation
LINE Added as CVE Numbering Authority (CNA)
Mitsubishi Electric Added as CVE Numbering Authority (CNA)

LINE株式会社
LINEがCVE Numbering Authority（CNA）の一員に

三菱電機株式会社
製品セキュリティーへの取組

この発表を受けて、CNAとCVE（Common Vulnerabilities and Exposures）に関して、また関連するJPCERT/CCの活動の近況についてお話します。

CNAの役目は、個別製品の脆弱性に対して、識別子番号CVEを採番して割り当てることです。CVEは脆弱性を識別する上での標準的な識別子として国際的にも広く用いられています。JPCERT/CCもCNAとして、届けられた脆弱性に対するJVNアドバイザリを公表する際に、CVEを割り当てています。しかしながらCVEの性格を考えた場合、脆弱性の調整やアドバイザリを公表する組織がCVEを割り当てるのではなく、自社製品の脆弱性を認識・検証できる製品開発者が、製品の脆弱性を識別してCVEを割り当てることが自然と言えます。CVEプログラムにおいても、製品開発者がCNAとして活動することを推奨していて、今回の2組織のCNAとしての参加、取り組みを歓迎しています。JPCERT/CCも、国内の2組織がCNAに加わることは、国内の製品開発者が自らの製品に対する脆弱性を識別・検証し、必要な対処を進める上で、大きな一歩だと確信しています。

JPCERT/CCは、CNAとしてCVE採番を行うだけでなく、管轄スコープ内のCNAやステークホルダーとの調整を行う、Root CNAとしての役割を2018年より担っています。現在、JPCERT/CCの他にはMITRE社とCISA ICSの2組織がRoot CNAとしての活動をしています。

Root CNAの主なミッションの一つが、その管轄スコープ内におけるCNA組織を増やすことです。今回、CNAとなることに快諾いただいた2組織に感謝するとともに、JPCERT/CCとしても初めてのSub CNAを迎えることができ、CVEプログラムの世界的な普及を進めていく仲間を得られたことをうれしく思っています。

JPCERT/CCはCVEプログラムの一員として、こうしたCNA招致以外にも活動を行っています。最近私が取り組んだ活動の一つをご紹介します。

CVEプログラムでは、CNAへの理解を進めていくためのさまざまな取り組みをしており、必要な資料の公開や、そのローカライゼーションにも力を入れています。先日JPCERT/CCは、CNAオンボーディング資料の日本語翻訳を行いました。ご興味のある方は、ぜひページ内の日本語資料を見ていただけるとうれしいです。

CVE Numbering Authorities
https://cve.mitre.org/cve/cna.html

今後もJPCERT/CCは、CNA招致やローカライゼーション業務を通じた、CVEプログラムの普及、拡大に努めて参ります。
CNAとなることにご興味、ご意見などありましたら、ぜひ一度メールアドレスvuls@jpcert.or.jpにご連絡いただければと思います。

早期警戒グループ   伊藤 智貴