XML(拡張可能マークアップ言語)関連技術の標準化団体であるOASIS(構造化情報標準推進機構)は米国時間で4月14日,Webセキュリティのぜい弱性情報を記述/交換するための仕様「AVDL(アプリケーションぜい弱記述言語)」を策定する計画を発表した。ぜい弱性情報の提供形式を統一し,コンテンツ・フィルタリング・システムや侵入検知システムなどで自動的に解釈,対策を講じることが可能になる。

 AVDLは,セキュリティ対策で必要な,ぜい弱性情報の入手,対処法の把握,対策の実施,結果状況の掌握という各段階を考慮したものになる。つまり,アプリケーションに対するぜい弱性情報を提供,アプリケーションを守るための対処法の情報を提供,解決策やパッチ適用などの情報を提供,パッチなどを適用した結果をレポート--などの用途で使えるXML形式のデータ構造を規定する。

 これまで,WebアプリケーションやWebサービスにかかわるぜい弱性情報の提供形式は標準化されていなかった。このため管理者は,メーカーや製品によって別々の形式で提供される情報を読み解き,影響の大きさや対処法を判断し,対策を講じる必要があった。例えば,侵入検知システムの設定を変更して攻撃を防いだり,Webサーバーやアプリケーション・サーバーにパッチを適用したり,特定のサービスを停止したりする必要があった。各製品間でぜい弱性情報や対策方法などを記述/交換する方法が標準化されれば,こうした作業を効率化または自動化できる可能性が出てくる。

 すでにOASISは,AVDLの策定を進めるための技術委員会を設立。コンサルティング事業を手がける米ブーズ・アレン・ハミルトン,Webセキュリティ製品のメーカーである米ネットコンチナム,セキュリティ・サービス事業者である米SPIダイナミックスなどが中心メンバーとして参加した。この技術委員会の最初の会合は5月15日に開催される予定で,2003年7~9月に最初の仕様案を公開し,2003年10~12月に標準化を図る計画だ。詳細は,AVDLのサイトで参照できる。