WEKO3
アイテム
NVD を利用した自然言語処理による脆弱性情報自動処理に関する考察
https://ipsj.ixsq.nii.ac.jp/records/228726
https://ipsj.ixsq.nii.ac.jp/records/2287265f8d904b-2c12-469c-b2aa-cd8fbf0d116e
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2023113.pdf (633.4 kB)
2025年10月23日からダウンロード可能です。
|
Copyright (c) 2023 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2023-10-23 | |||||||||
| タイトル | ||||||||||
| タイトル | NVD を利用した自然言語処理による脆弱性情報自動処理に関する考察 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Discussion about Automatic Processing of Vulnerability Information through Natural Language Processing using NVD | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | 脆弱性検査, NVD, SCAP, 自然言語処理 | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 長崎県立大学 | ||||||||||
| 著者所属 | ||||||||||
| 長崎県立大学 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| University of Nagasaki | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| University of Nagasaki | ||||||||||
| 著者名 |
水野, 鷹也
× 水野, 鷹也
× 加藤, 雅彦
|
|||||||||
| 著者名(英) |
Takaya, Mizuno
× Takaya, Mizuno
× Masahiko, Kato
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 脆弱性情報の収集・管理・対応は,セキュリティ運用において永続的に行っていかなければならない重要なものである.しかし,近年のIT技術の発達と共に脆弱性の報告数は年々増加傾向にあり,米国国立標準技術研究所(NIST)が運営する脆弱性データベースNVDでは,2022年の脆弱性数は22,000件を超えており,1日平均60件もの脆弱性が登録されていることとなる.また,対策を行うセキュリティ人材の負荷が増加しているが,セキュリティ人材の増員などの早期解決は難しいのが現状である.以上のことから,脆弱性に対する対応量の増加や人員の不足により,脆弱性の把握漏れや対策の遅れが生じる可能性が示唆されており,自動化などの効率化が検討されている.しかし,NVDの脆弱性記述には自然言語が含まれており,機械処理等の自動処理に向かない.本稿では,NVDを利用した自然言語処理による脆弱性情報の自動処理に関する検証と考察を記載する.実環境におけるソフトウェア情報から25種類の脆弱性を含むソフトウェア情報を選定して評価を行った結果,25種類すべての脆弱性を検知することができたが,特定のソフトウェアから得られる製品情報の記述に問題があることが判明した. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | It is important for security operations to collect, manage, and make countermeasures to vulnerability. However, withthe development of IT technology in recent years, the number of vulnerability reports has been increasing every year. Accordingto NVD (National Vulnerability Database) in NIST (National Institute of Standards and Technology), the number of vulnerabilityreports in 2022 was over 22,000, which means that 60 vulnerability reports per day were received. The burden on security teamsto make countermeasures to these vulnerabilities is increased, but it is difficult to take solutions such as increasing the number ofpersons. From the above, these factors cause lack of vulnerability management and delays in taking, so the automation ofvulnerability management is being considered. but vulnerability in NVD is described in natural language, which is unsuitable forautomation. This paper proposes verification and discussion about automatic processing of vulnerability information throughnatural language processing using NVD. We select software containing 25 vulnerabilities in the production environment andevaluate our methods using them. In the results, our methods can detect the assumed vulnerabilities but find a problem in productinformation obtained from some software. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2023論文集 p. 828-833, 発行日 2023-10-23 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
