Upload File

脆弱性届出制度における 調整活動 - iwsec ·...

  • Home
  • Documents
  • 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン
15
脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター 脆弱性コーディネーショングループ リーダー 高橋 紀子

Upload: others

Post on 14-Jun-2020

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

脆弱性届出制度における調整活動

JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋 紀子

Page 2: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

JPCERT/CCの活動

1

JPCERT/CCのさまざまな活動は、予防から事後対応に至る過程で必要となる具体的な対応に直結。先進の分析と培われたコーディネーション活動で、企業や組織のサイバーセキュリティ対策活動を支えます。

Page 3: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

インシデントの発生(ゼロデイ攻撃)や拡散を防止するための活動(未然に防止)—①脆弱性ハンドリング

脆弱性情報の適切な流通を図るための関係者間調整脆弱性情報の公表

—②セキュアコーディング脆弱性の低減方策の調査研究・開発、普及啓発

—③潜在する脆弱性の脅威に関する調査・研究

標準化動向調査—脆弱性の開示 (ISO/IEC 29147)、脆弱性取扱い(ISO/IEC

30111)—インシデント管理 (ISO/IEC 29147)

脆弱性コーディネーショングループの活動

2

Page 4: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

IPAとの調整(国際展開案件の場合は海外CERT)—製品開発者からの報告内容共有、IPAからは発見者からの報告内容共有、JVNアドバイザリ内容、JVN公表日時など

製品開発者(ベンダ)との調整—届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベンダ見解や対応方針(異議の際は関係者間の協議・交渉等)、JVNアドバイザリ内容、JVN公表日時、ベンダサイトでの公表日時

脆弱性発見者(届出者)との調整— JPCERT/CCに直接届出られた場合は、あらゆる調整を行う

JVN公表— JVN日本語版・英語版の作成、公表

CVE採番とCVE Description作成・発行—英文にて所定のルールに従い記載し発行

①脆弱性ハンドリング、具体的には…

3

Page 5: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

役割JPCERT/CC 脆弱性コーディネーショングループ— 2004年から活動

国内外の、主に製品開発者(ベンダ)と脆弱性に関わる調整を行う窓口としての機能を担う

JPCERT/CC

海外のNational CERT等

海外研究者

国内研究者

海外ベンダ

国内ベンダ

4

Page 6: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

JPCERT/CCの脆弱性ハンドリング全体像

5

Page 7: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

国内における脆弱性ハンドリング全体像ソフトウエア製品等の脆弱性関連情報に関する取扱規程(平成29年経済産業省告示第19号)

JPCERT/CCは調整機関として指定

※情報セキュリティ早期警戒パートナーシップガイドラインより抜粋

6

Page 8: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

届出制度における発見者とベンダ間の調整

7

Page 9: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

日本の届出制度でのメリット:発見者側製品開発者(ベンダ)と直接やりとりをしなくてよい— 匿名での届出も可能— 海外ベンダの場合、JPCERT/CCが届出を翻訳して送付— ベンダに連絡がつくまで自ら連絡先を探さずにすむ— 脆弱性発見に注力ができる。ベンダとの交渉・調整はすべてお任せ。

JVNに自分の名前(謝辞)が載る

CNAであるJPCERT/CCにより、各脆弱性に対しCVEが採番・登録されるCNA(CVE Numbering Authorities)https://cve.mitre.org/cve/cna.htmlCVE Numbering Authorities (CNAs) are organizations from around the world that are authorized to assign CVE IDs to vulnerabilities affecting products within their distinct, agreed-upon scope, for inclusion in first-time public announcements of new vulnerabilities. These CVE IDs are provided to researchers, vulnerability disclosers, and information technology vendors.

8

https://cve.mitre.org/cve/cna.html
Page 10: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

日本の届出制度でのメリット:ベンダ側製品に関係する脆弱性情報を早期に入手し、計画的に対応できる— 他社製品(サードパーティ製ライブラリ等)の脆弱性情報も、条件があえば必要に応じて入手できる

脆弱性の公表と同時に対策情報を公開し、ユーザへの影響を低減できる

中立な第三者機関(JPERT/CC)がクッションになる— 情報の適切なフィルタリング、検証等— 海外の発見者やCERT等と直接英語で交渉・調整しなくてよい— 適切な脆弱性情報の管理と提供(OEM元や部品ベンダ等)

脆弱性およびその対策の情報を告知する媒体として、JVNを利用でき、CVEも採番・登録される— JVN掲載により各種メディアを通じてユーザに広く周知が期待できる

9

Page 11: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

国際調整案件となったハンドリング事例

10

JVN#61247051OpenSSL における Change Cipher Spec メッセージの処理に脆弱性https://jvn.jp/jp/JVN61247051/index.html

本件の詳細はこちらLessons (to be) Learned from Handling OpenSSL Vulnerabilitieshttps://www.slideshare.net/jpcert_securecoding/lessons-to-be-learned-from-handling-openssl-vulnerabilities

https://jvn.jp/jp/JVN61247051/index.html
https://www.slideshare.net/jpcert_securecoding/lessons-to-be-learned-from-handling-openssl-vulnerabilities
Page 12: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

発見者・研究者の皆さまに知っておいてほしいこと

11

脆弱性を発見したら、届出窓口にご連絡を!— ベンダとの調整を行っているCERT組織は世界でも限られています

JPCERT/CC, CERT/CC, ICS-CERT, NCSC-FI, NCSC-NLJPCERT/CCは、各国CERTとNDAを締結し国際連携をしています

JPCERT/CCは、CVE Numbering Authorities (CNA) です— 世界でも数少ないRoot CNA。MITREより事前にCVEブロックを取得しており、JVNで脆弱性情報公表する際、各脆弱性にCVEを採番し、CVEデータベースにDescriptionを投稿しています

海外のベンダとも、頻繁にやり取りがあります— 複数社より自社製品の届出や事前情報提供を受け取っています— 例:Adobe, Apple, Google, ASF, ISC, Intel, OpenSSL, etc…

JPCERT/CCは、Responsible Disclosureの精神に則り調整します— 原則、Coordinated Disclosure(公表前調整)をおこないます— ただし、ゼロデイ時はこの限りではなく、緊急注意喚起発行もします

Page 13: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.

届出制度に報告する際、ご協力いただきたい点

12

学会・カンファレンス等での発表を控えている案件の場合、その名称・発表タイトルと発表日— 脆弱性対策を進めるベンダにとっては、とても重要— 受付機関・調整機関にとっても、発見者による発表日(同日または翌日)が脆弱性情報公表日となるため、必要な情報

影響範囲や懸念点等— プラグイン、ライブラリ、ウェブアプリケーション等である場合、それを取込んだ製品が多数存在していると、マルチ案件(国際展開・調整に転じる)となり、調整も大掛かりに。影響範囲が多岐であったり、その懸念がある場合は、届出に記載をお願いします。

海外製品の場合、届出・検証結果や提示可能なペーパーは、可能であれば英文でご提示いただけると助かります— JPCERT/CCで届出の翻訳はしていますが、誤訳防止、かつ届出時に英文であれば早期展開も可能となります。

脆弱性情報の届出等詳細については、IPA様からの公開資料がとても参考になります!脆弱性届出制度に関する説明会資料(PDF2.06MB)https://www.ipa.go.jp/files/000063028.pdf

https://www.ipa.go.jp/files/000063028.pdf
https://www.ipa.go.jp/files/000063028.pdf
Page 14: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.13

脆弱性ハンドリングに関するお問い合わせ

脆弱性情報・ハンドリングに関して— Email:[email protected]— https://www.jpcert.or.jp/vh/top.html

製品開発者登録に関して— Email:[email protected]— https://www.jpcert.or.jp/vh/register.html

JPCERTコーディネーションセンター— Email:[email protected]— https://www.jpcert.or.jp/

https://www.jpcert.or.jp/vh/top.html
https://www.jpcert.or.jp/vh/register.html
https://www.jpcert.or.jp/
Page 15: 脆弱性届出制度における 調整活動 - IWSEC · 内容共有、jvnアドバイザリ内容、jvn公表日時など . 製品開発者 (ベンダ) との調整 — 届出情報展開(海外ベンダの場合は翻訳)、検証結果報告、ベン

Copyright ©2019 JPCERT/CC All rights reserved.14

ご清聴ありがとうございました


2014 届就业讲座

摩耶5 建築行為等の届出 届出の流れ 届出書類 届出は、所定の届出書、概要書に必要事項を記入の上、関係図書を添付して行為着手の30

同期FIFOのFPGAベンダ非依存 記述と高速化設計同期FIFOのFPGAベンダ非依存 記述と高速化設計 立命館大学 理工学部 電子情報工学科 大学院

SASIL - Telenetusers.telenet.be/jvn/JeanMueller/SASIL_fr/SASIL_recommandations_25.03.08.pdfGuide d’emploi pour réglettes interrupteur-sectionneur à fusibles SASIL 25.03.2008 3

向 2011 届高三老师致敬! 感谢 2011 届的宝贵经验!

L RBD N - ibdigital.uib.catibdigital.uib.cat/greenstone/collect/premsaForanaMallorca/index/assoc/... · nr Tdr bd, nfr 20 jvn. nr Tdr bd, nfr 20 jvn nn ~ ~h. 0 TNR DNFR LL RL nrt

ERP導入をとおして実感したソリューションの特長をご紹介1-2.主なERPパッケージと特色 海外ベンダ 国内ベンダ 大企業向け 従業員数

JvN Promotion - The Collection 2015 DE

アクセスジェイ変更・解約届-記入例 変更・解約届 …アクセスジェイ変更・解約届-記入例 紺 赤 グレー アクセスジェイ変更・解約届

 · Web view婚姻届 R2.12.24届出 R2.12.24 届出 1 1 1 幸町 71番地 鳥取 太郎 鳥取 次郎 令和2 12 12

特定健診等機関システム 開発ベンダ説明会

製造所固有記号制度届出データベース 届出マニュアル (食品 ......製造所固有記号制度届出データベース 届出マニュアル(食品関連事業者向け)

cdigital.dgb.uanl.mxcdigital.dgb.uanl.mx/la/1020145252/1020145252_007.pdfsrita nora patricia arte-aga escalera c.p. ramiro soberon perez c.p. rodolfo rocha nuÑez jvn. luis cesar gonzalez

Dienst141214 dg jvn

JVN iPedia に関する 活動報告レポート · 脆弱性対策情報データベースJVN iPedia に関する活動報告レポートについて 本レポートでは、2019

届出荷送人一覧(届出番号順)(令和2年2月14日更 …届出荷送人一覧(届出番号順)(令和2年2月14日更新) 届出番号 名称又は氏名 住

コンピュータウイルス・不正アクセスの届出状 …2.コンピュータウイルス届出状況 -詳細は別紙1 を参照- (1)ウイルス届出状況 7

オフショア開発における ユーザ・ベンダ間コミュニケーション ...isw3.naist.jp/IS/TechReport/report/2009005.pdf · 2009-10-02 · オフショア開発においても,上記のようなユーザ・ベンダ間のコミュニケーションは存

Manuelle Medizin 2011 · [jvn]:[afp]–[alp] DOI 10.1007 ...tschackert.com/images/presse/presseveroeffentlichungen/1_7_337.pdf · Dysfunktion behob und in der zweiten Gruppe eine

JVN observations of (NLS1s and) BAL quasars 200 9Mar18-20 EAVN-WS 2009 @ Seoul

17届会议指南 - my.hzau.edu.cn€¦ · Title: 17届会议指南.cdr Author: Administrator Created Date: 20160413023613Z

脆弱性対策データベースと その自動化基 JVN, JVN iPedia and ......2013/09/30  · 脆弱性対策関連(X.xccdf、X.cpe、X.cce、X.cve、X.crf、X.oval、X.cwe、

JVN による 6.7 GHz メタノールメーザの 内部固有運動計測

酪農学園大学 農食環境学群 【届出】設置に係る設 …...大学番号:私021 届届出出届出 酪農学園大学 農食環境学群 【届出】設置に係る設置計画履行状況報告書

应届生求职大礼包——华为篇 - YingJieSheng.COMdownload.yingjiesheng.com/dlb2020/huawei.pdf应届生求职大礼包——华为篇 应届生求职网YingJieSheng.COM 应届生求职网

Avaya Aura - sanki.co.jp · Avaya Aura® Conferencing MOC & Sametime Integration fastIntegrate 複数ベンダのPBX電話機をMOC、Lync & Lotus

ikumen poster B2 2018「侍型育休届」「説得型育休届」「かわいい育休届」など、《いろんな育休届テンプレート》をウェブで配信中です。育休応援宣言

JvN - Powerbanks & Chargers Brochure 2016

cdigital.dgb.uanl.mxcdigital.dgb.uanl.mx/la/1020144998/1020144998_004.pdf · ing. juan antonio vidales contreras jvn. fausto enrique medina chapa aqq. jaime suarez garza arq. jaime

[]の施設基準に係る届出 - mhlw別添7 基本診療料の施設基準等に係る届出書 届出番号 (届出事項) []の施設基準に係る届出 当該届出を行う前6月間において当該届出に係る事項に関し、不正又は不当な届出(法令の規定

Japanese VLBI Network (JVN): recent results and future plans for EAVN

REVISTA JVN 2011

NT L DFLTD TL D L JVN N TR D - unavdadun.unav.edu/bitstream/10171/3606/1/simposioteologia2polo.pdf · NT L DFLTD TL D L JVN N TR D DN RL vn htr, l h pt ptv tv t pr l büdd d hh d

JVN-TDT Entity Linking Systems at TAC -KBP2012 · JVN-TDT Entity Linking Systems at TAC -KBP2012 aTonDucThangUniversity bJohnvon Neumann Institute cHoChi Minh City University of Technlogy

マスタ サブタイトルの書式設定 2012年10月 日JVN#88643450 Sleipnir Mobile for Android における WebView クラスに関する脆弱性 JVN#99192898 複数の GREE