国内初の無償国産脆弱性DB SDEX脆弱性DBの使用方法
●概要
製品・サービス・業界動向
業界動向
Scan Daily Express DATABASE(以下、SDEX DB)は、NS総研により発行されているSDEX(Scan Daily Express)に掲載された脆弱性情報をまとめたデータベースで、2002年10月からの情報3千件以上がまとめられている。対象となるソフトウェアや機能ごとに分類されており、脆弱性の内容や影響、関連情報などが収録されている。また、CVE、CERT、ISS X-Force Databaseなどの標準的なセキュリティIDも掲載しており、これらのIDナンバーから検索することも可能になっている。
SDEX DBは、Windows環境(98、Me、XP、2000、NT4.0)でスタンドアロンで動作するランタイムとなっている。格納されたデータベースは検索、ソート、印刷などが可能だ。
項目ごとに条件を設定して、検索やソートが実行できるようになっているが、これまでのバージョンアップによって正しく検索されないデータも存在するので注意されたい。これらのバグについては、追って修正していく予定である。
ここでは、SDEX DBの基本的な使い方を紹介しよう。
●ファイル構成について
SDEX DBは、配布を可能にするためスタンドアロンで動作するランタイムとなっている。別途ソフトウェアを用意する必要がなく、ランタイムを実行することでソフトウェアがインストールされることもない。動作環境はWindowsのみ(98、Me、XP、2000、NT4.0)となるが、ハードウェアはPentium 90 MHz以上のCPU、32MB以上のメモリという以外に制限はない。
ランタイムは「SDEX_DB××××××ソリューションフォルダ」に収められており(××…は作成された時期)、PC上のどこに配置しても構わない。ただし、フォルダ内部に必要なDLLファイルがすべて収められているため、ファイルを個別に移動すると起動しない可能性がある。
●データベースの起動と終了
SDEX DBの起動は、「SDEX_DB××××××ソリューションフォルダ」内の「SDEX_DB××××××ソリューション」という名前のファイルをダブルクリックすればよい。ファイルを開く際にパスワードの入力を求めるダイアログが表示されるので、パスワードを入力する。パスワードを入力しないとデータベースにアクセスできなくなるので注意。
SDEX DBを終了する場合は、単にウインドウを閉じればよい。次回起動する際には、前回終了時の内容が引き継がれるようになっている。
●データベースの使い方
データベース画面は、ウインドウ左側にデータベースの状況を表示するアイコンが常に表示され、メイン画面には選択したデータが表示される。デフォルトではすべてのデータを表示しているので、検索やソートによってデータを絞り込む。
メインウインドウには6つのボタンがあり、このボタンでデータの検索や
ソート、印刷などを実行する。「(1)検索」ボタンをクリックすると、検索画面に切り替わる。ここで、検索条件を直接フィールドに入力する。ほとんどのフィールドが検索に使用でき、「大分類」「中分類」をクリックするとプルダウンメニューが表示されるようになっている。検索条件を入力するのは1つのフィールドだけでも構わない。
検索条件を入力したら、「検索実行」ボタンをクリックする。これで検索が実行され、該当するデータのみが表示されるようになる。該当するデータが何件あったかは、ウインドウ左側のアイコンで確認できる。このアイコンの上側をクリックすれば1つ前のデータ、下側をクリックすれば1つ次のデータを表示する。右側のバーをドラッグすることも可能だ。
検索やソートを行った後で、再びすべてのデータを表示するには「表示リセット」ボタンをクリックする。
ソートを行う場合には、「ソート」ボタンをクリックする。すると「レコードのソート」ウインドウが表示されるので、ソートに利用する条件を左側の一覧から選択し、「>>移動>>」ボタンをクリックして右側に追加する。優先順位はドラッグによって入れ替えることができる。「ソート」をクリックすれば実行する。検索やソートは、条件を変えてくり返し行うことも可能だ。
表示しているデータを印刷したい場合には、「印刷」ボタンをクリックする。
すると印刷ウインドウが表示されるので、プリンタを選択し、「OK」をクリックすれば印刷が実行される。「印刷範囲」でページを指定したり、「印刷部数」を設定することも可能だ。
また、簡単な図によるヘルプを「?」ボタンで表示できる。データベース画面に戻るには「戻る」ボタンをクリックすればよい。
●データベースの今後について
SDEX DBは、今後毎月更新していく予定になっている。その都度、最新の
データの追加と機能追加を行っていく予定だ。現在ではデータが完全に入力されていない時期や内容が存在するが、このような部分も充実させていく予定となっている。また、データベース内のURLにクリッカブル機能を装備する予定であるが、この際にはユーザのPCに別途DLLファイルのインストールが必要になるので、あらかじめ認識しておいて欲しい。
<SDEX DBの入手方法>=================================================
ネットアンドセキュリティ総研発行のScan Security WireおよびScan Daily Expressの購読者全てにダウンロード用の認証情報(ID・パスワード)および起動用のパスワードが発行されます。
これらの情報は9月7日発行の Scan Security WireおよびScan Daily
Expressに掲載される予定になっています。なお、これらの認証情報はアップデートされるごとに変更され、Scan Security Wire、Scan Daily Expressの紙面に掲載されます。
◇参考:
Windowsクライアントで動作する国産脆弱性データベースを無償配布開始
(2004.8.26)
https://www.netsecurity.ne.jp/article/1/13934.html
Scan Security Wire
http://ns-research.jp/c2/shop/e-zine/ssw.shtml
Scan Daily Express
http://ns-research.jp/c2/shop/e-zine/sdex.shtml
《ScanNetSecurity》