セキュリティ情報流通を支援する国内向けベンダ・ステータス・ノーツ（JVN）構築

4. RSSの活用こそがセキュリティ情報流通を成功させる鍵

現在のセキュリティ情報の流通は、ほとんどの場合、HTMLベースのWebページのかたちでなされています。そのため、さまざまなWebサイトから情報の断片を集めてきて再構成したり、情報と情報の関連付けをしようとすると多くの手間と時間がかかります。情報を提供する側が、もっと簡単に機械処理できるようなかたちの情報発信をおこなえば、情報の再活用がより幅広く柔軟におこなえるはずです。

こうした発想のひとつに、XML（*1）とRDF（Resource Description Framework）（*2）を用いて意味づけした文書を構成し、コンピュータで自動処理させるセマンティックWeb（*3）があります。のキー技術であるRDFを使用して、XMLフォーマットによる共通の書式でドキュメントの見出しや要約などのリストを提供することで、サイトの更新情報などを効率的に配信することができるRSS（RDF Site Summary）（*4）は、現在、インターネットの新しい潮流として急速に普及しつつあります。JVNの運用にあたって、ひとつの重要なポイントになっているのが、このRSSの活用です。

JVNでは、RSSを活用することによって、2つの課題を解決したいと考えました。

情報の再活用を考慮した配信

製品開発ベンダの対策情報をまとめ上げることに主眼を置いていることから、JVNでは情報をHTMLベースのWebページのかたちで構成しています。しかし、掲載した情報を活用してもらうためには、機械処理に対応した形式で情報を配信する必要があります。

RSSを利用することにより、いわゆるニュースサイトが提供するニュースフィードと同様のかたちで、JVNデータを配信することができます。RSSでデータが構造化されているため、項目ごとの追加ならびに更新状態の確認も容易になります。

製品開発ベンダからの情報収集の効率化

JVNでは、製品開発ベンダからのメール通知によって対策情報を収集することを想定し、そのためのフォーマットも用意しています。しかし、より数多くの製品開発ベンダに参加してもらえるように、メール以外にも効率的な情報収集手段を整備していく必要があります。

RSSを利用することにより、製品開発ベンダのWebサイトから収集した対策情報をJVNページとして自動的に再構成することが可能になります。もちろん、その前提条件として製品開発ベンダ側でのRSSへの対応が不可欠なことは言うまでもありませんが、ソフトウェア等の脆弱性対策における公的な枠組みが整った以上、こうした効率的な情報流通が加速することは間違いありません。つまり現時点では、RSSの活用こそがセキュリティ情報流通の成功の鍵と言えるのです。

図2 JVNサイトにおけるページの自動生成

また、セキュリティ情報を提供するRSSリストとCERT-CA, CERT-VU,CVE, CIAC Bulletinなどの相互関連性が格納されたデータベースを整備することにより、セキュリティ情報を取り扱いたい他サイトでも同様な機構を備えることができ、セキュリティ情報収集に関する操作軽減につながります。

図3 セキュリティ情報のRSS ポータル

*

CERTは、米国における米国Carnegie Mellon Universityの登録商標です。

*1

XML（eXtensible Markup Language）:
構造化された文書を作成するための拡張性および汎用性を備えたメタ言語。テキストであるため、データは人間が読めることに加え、タグ付けと構造化によりコンピュータ処理しやすくなっている。

*2

RDF（Resource Description Framework）:
メタデータ、つまり情報についての情報を記述する方法に関しての取り決め。XMLを用いて記述され、これによってコンピュータが扱う情報の分類や検索などが自動化できる。

*3

セマンティックWeb:
Webサイトの意味をコンピュータに理解させ、より高品質な情報の収集を可能にする技術。コンテンツ（情報内容）とは別に、コンピュータがページに記述されている情報の意味を解釈するための「メタデータ」がRDFによって付加されている。

*4

RSS（Rich Site SummaryまたはRDF Site Summary）:
Webサイトの要約を配布するためのXMLフォーマットのこと。Webサイトの各ページのタイトル、アドレス、見出し、要約、更新時刻などを記述することができる。