CERT Cコーディングルールを調査、脆弱性の低減に有効な22個を抽出(JPCERT/CC) | ScanNetSecurity
2026.01.03(土)

CERT Cコーディングルールを調査、脆弱性の低減に有効な22個を抽出(JPCERT/CC)

JPCERT/CCは、レポート「制御システム用ソフトウエアの脆弱性対策に有効な CERT C コーディングルールの調査」を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
141 views
facebookLINE
米国ICS-CERTが2010年から2013年末までの間に公開した242件のアドバイザリに含まれていた脆弱性
米国ICS-CERTが2010年から2013年末までの間に公開した242件のアドバイザリに含まれていた脆弱性 全 2 枚 拡大写真
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月2日、レポート「制御システム用ソフトウエアの脆弱性対策に有効な CERT C コーディングルールの調査」を公開した。本レポートは、米国ICS-CERTによる「ICS-CERT Advisory」で公開された制御システム用ソフトウェアの脆弱性を調査し、それらの低減に役立つ22個のルールを「CERT Cコーディングスタンダード」の中から抽出したもの。CERT Cコーディングスタンダードはセキュアなソフトウェア開発のためのコーディングガイドラインであるが、300を超えるコーディングルールが含まれており、開発現場で活用するには優先度付けなどの手間があったため、本レポート公開したという。

米国ICS-CERTが2010年から2013年末までの間に公開した242件のアドバイザリには、445件の脆弱性が含まれていた。最も多い脆弱性はバッファエラー(CWE-119)であり、全体の19%を占めた。また、全体の36%には攻撃・PoCコードが公開されていた。脆弱性の大半は、プログラマがセキュアなコードを書く方法を知っていれば作り込まずに済んだ、実装上の問題であるとしている。さらに、調査した445件の制御システム用ソフトウェアの脆弱性に関連するルールは全部で44個存在し、このうち22個のルールが脆弱性の低減において特に重要であることがわかった。脆弱性の多くは実装段階にコーディングエラーが原因で作りこまれる問題であることから、コーディング規約や静的解析ツールを活用したセキュアコーディングが、脆弱性対策に有効であると考えられるとしている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

    元国土交通省職員ら、「アイコラ」をサイトに掲載し逮捕

  2. HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

    HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

  3. 保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

    保証人に送付した学費請求書の住所に誤り、個人情報が漏えい(横浜市立大学)

  4. 海外からクラウドサーバへの RDP 接続で侵入 ~ ウエットマスターへのランサムウェア攻撃

    海外からクラウドサーバへの RDP 接続で侵入 ~ ウエットマスターへのランサムウェア攻撃

  5. 「エンタプライズVLAN検疫ソリューション」の共同開発を発表(エクストリーム ネットワークス、NTTデータ先端技術、東京エレクトロン)

    「エンタプライズVLAN検疫ソリューション」の共同開発を発表(エクストリーム ネットワークス、NTTデータ先端技術、東京エレクトロン)

ランキングをもっと見る
PageTop
ホーム 調査・レポート・白書・ガイドライン 調査・ホワイトペーパー 記事
TOP