@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00214466,
 author = {佐々木, 満春 and 山嵜, 麿与 and Mitsuharu, Sasaki and Mayo, Yamasaki},
 book = {コンピュータセキュリティシンポジウム2021論文集},
 month = {Oct},
 note = {近年，ソフトウェアなどの脆弱性の報告数は増加傾向にあり，数多くの脆弱性に対処するためには，効率的に脆弱性情報を収集・管理する必要がある．脆弱性情報のデータベースとして，National Vulnerability Database (NVD) がよく知られている．脆弱性には，Common Platform Enumeration（CPE）とよばれるソフトウェアなどの製品を特定するための識別子が付与されており，脆弱性が影響を与える製品を判別することができる．CPE の一覧は CPE 辞書にて管理されているため，辞書内の CPE と脆弱性に付与された CPE を対応付ける CPE マッチングにより対処が必要な脆弱性を自動で収集することが可能となる．しかし，実際の脆弱性に付与される CPE には表記ゆれがあり，単純な文字列比較では CPE 辞書内の CPE と対応付けられず，対処が必要な脆弱性を収集できない恐れがある．そこで本稿では，CPE 文字列の特徴に加え，共起性や脆弱性の特徴を用いた高精度な CPE マッチング手法を提案する．また，有識者によって作成されたデータセットを用いて評価実験を行い，提案手法の有効性を確認した．, In order to deal with increasing the number of vulnerabilities, it is necessary to collect and manage vulnerabilities efficiently. The National Vulnerability Database (NVD) is well known as a repository of standards-based vulnerability management data. Each vulnerability is assigned Common Platform Enumeration (CPE) to specify the software or other products and determine which products are affected by vulnerabilities. Since the list of CPEs is managed in the NIST's CPE dictionary, it is possible to automatically collect vulnerabilities by CPE matching. However, it is difficult to collect these vulnerabilities because the CPEs have orthographical variants and doesn't exactly match the ones in the CPE dictionary. In this paper, we propose a highly accurate CPE matching method that uses a co-occurrence of CPEs and features of vulnerability. We evaluated the proposed method by experiments using a dataset created by experts and confirmed the effectiveness of the proposed method.},
 pages = {484--491},
 publisher = {情報処理学会},
 title = {脆弱性管理のためのCPEマッチング手法の提案},
 year = {2021}
}