授業でシステムの脆弱性について少し調べてみた。

国内は比較的わかりやすく、JPCERT/CCやIPAに報告をすると、（JPCERT/CC|IPA）が開発者に連絡をとり対応してくれる。
また、JVN（Japan Vulnerability Notes）という脆弱性データーベースに登録され、識別番号が振られ公開される。 （公開は、開発者などへの対応が一通りすんでから・・・のはず。） ちなみに、JPCERT/CCはCVE番号も発行できる。

CVE番号は、米国政府から脆弱性データベースの管理運営の委託を受けているMITRE社が管理する脆弱性データベース（CVE）で振られている番号。
アメリカの標準は世界の標準！という勢いで、事実上世界共通の管理番号。

そしてアメリカの脆弱性はUS-CERTというところが受け付けていて、NISTという団体が管理しているNVD（National Vulnerability Database）という脆弱性データベースに登録してCVEの詳細なんかを告知している。後NISTではCVSS と呼ばれる脆弱性の深刻度を表す評価値の提供も行っている。

でもUS-CERT自体も告知しているし、今ひとつUS-CERTとNISTとCVEの関係が理解出来ていない。 とりあえず米国政府がITの脆弱性とかに本気で取り組んでる感じは分かった。

とりあえず最近日記を書かなすぎなので、とりあえず中途半端な理解だけれども書いてみた。