入門解説

CSAFとは
(アドバイザリの標準フォーマット)

CSAFとは Common Security Advisory Framework の略で、脆弱性や対策情報を JSON 形式の機械可読なアドバイザリ として交換するための標準です。

OASISの仕様では、CSAFは「製品、脆弱性、影響状況、 remediation(対策)に関する構造化情報として、セキュリティアドバイザリを作成・更新・相互運用可能に交換するための言語」と説明されています。CSAF 2.0は OASIS Standard として公開されており、JSON schemaもあわせて提供されています。

サプライヤー実務で一言にすると、CSAF は
「脆弱性の説明書を、人ではなくシステムでも扱える形にしたもの」 です。

OASISの設計説明では、Security Advisory はベンダー、PSIRT、再販業者・流通事業者などが扱う通知を含み、焦点は 特定の製品・プラットフォーム・バージョンに、影響があるか/ないか、回避策や対策があるか に置かれています。
つまり、PDFやメール本文ではなく、構造化された advisory をやり取りしたい時に登場するのが CSAF です。

前提の確認

CSAFのフォーマットを活かす前に、OEMとアドバイザリ(調査依頼と回答)をやり取りする実務フローの全体像についてはこちらをご覧ください。

CSAFで何ができるのか

CSAFの最大の価値は、脆弱性情報を「人が読める」だけでなく 機械処理しやすくする ことです。

OASISの抽象説明どおり、CSAFは製品、脆弱性、影響、対策を構造化して持てるため、OEMやサプライヤーの間で advisory をデータとして交換したり、ツール側で読み込んで自動処理したりしやすくなります。
実務の観点では、同じ内容をPDF、Excel、メールで何度も手入力(転記)する負荷を減らす方向で効果を発揮します。

また、CSAF には Profile(用途別の型) があります。

  • Security Advisory profile脆弱性とその対策を表す一般的な advisory 向け
  • VEX profile「その製品が当該脆弱性に影響する/しない理由」を表現する用途向け

OASISは VEX profile の主目的を、「ある製品が、ある脆弱性の影響を受けるか受けないか、そしてその理由を述べること」だと明記しています。

SBOM・VEXとの違い

ここは非常によく混同されるポイントです。以下のように整理してください。

SBOM

「何が入っているか」を示す構成表

VEX

「実際に影響するか」を示す状態表現

CSAF

それらを含みうるアドバイザリ交換の枠組み(フォーマット)

特にOASISの仕様では、CSAFの VEX profile が製品ごとの affected / not affected / under investigation などを扱う前提になっており、CSAFのJSON構造の中でVEX的な情報をやり取りできる設計になっています。

サプライヤー実務でどこに出てくる?

CSAFがサプライヤーの実務で登場するのは、主に以下の場面です。

  • OEMや上流ベンダーから、構造化された advisory をデータとして受け取る時
  • 自社から(顧客やOEMへ向けて) advisory を機械可読な形で返す時

特に、「どの製品のどの版数に影響があり、どの版数は影響しないか」「回避策や修正版は何か」といった情報を、手作業ではなくシステム間でやり取りしたい時に価値が出ます。

注意点
逆に言えば、社内で「対象版数」や「影響の根拠」が整理できていない(アナログでカオスな)状態では、CSAFだけを導入しても運用は改善しません。
CSAFはプロセスそのものではなく、あくまで「交換フォーマット」だからです。

よくある誤解

  • 誤解1:CSAFを使えば運用が自動で整う

    違います。 CSAFは advisory を交換するための標準であって、社内の脆弱性受付、影響判定、証跡管理、承認フローを代替するものではありません。まず必要なのは、社内で対象版数・結論・根拠が正しく整理されていることです。

  • 誤解2:CSAF = VEX である

    違います。 VEXはCSAFの中で使える用途(Profile)の1つに過ぎず、CSAF全体はそれよりも広いセキュリティアドバイザリ全般の枠組みです。

  • 誤解3:昔の CVRF と同じでよい

    アップデートされています。 CSAF 2.0 の仕様ページでは、CSAFは CSAF-CVRF 1.2 を置き換える/引き継ぐものとして整理されています。つまり、CSAFは CVRF の系譜を引き継ぎつつ、現在の標準としてJSONで整備されたものです。

FAQ:CSAFとは

Q1. CSAFとは何ですか?

脆弱性や対策情報を、JSONで機械可読に交換するための標準フォーマットです。OASIS が標準化を行っています。

Q2. CSAFは何に使いますか?

製品、脆弱性、影響状況、対策情報を構造化し、サプライヤーやOEM、PSIRTの間でセキュリティアドバイザリ(通知・報告)をやり取りしやすくするために使います。

Q3. CSAFとVEXの違いは何ですか?

CSAFは advisory の枠組み(フォーマット)全体であり、VEXはその中で「影響する/しない理由」を扱う profile(用途)の1つです。

Q4. CSAFを導入すればOEM対応は楽になりますか?

社内で対象版数、根拠、承認プロセス、証跡が整理されている前提なら効力を発揮します。逆に、社内のPSIRT運用プロセスが未整備のままでは、CSAFという箱だけ入れても改善は限定的です。

次に読む

CSAFやVEXで出力する前の「社内の影響判定(対応不要の根拠)」を、実務としてどう回答書に落とし込むかについてはこちら。

フォーマットの前に、社内のプロセスを整理しませんか?

CSAFやVEXといった標準フォーマットを活用するためには、まず「社内のどの製品が対象か」「影響有無の証跡をどう残すか」というPSIRTの基本プロセスが不可欠です。OEM調査依頼・監査対応の進め方を自社向けに整理したい方はご相談ください。

【無料】オンライン相談を予約する