製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル3)
前回の紹介記事では、PSIRT のプロセスを一通り経験し、経験値を蓄える段階(レベル2)について書きました。今回は、PSIRT のプロセスを何度も実施している PSIRT がエリートになるためのレベル3を紹介します。
レベル3の PSIRT がいる組織では、製品の脆弱性の発見、分析し、対策版のリリースなどのプロセスを開発者を含めた内部のステークホルダ全員が理解しており、PSIRT が誰で、何をしているか理解しており、製品の脆弱性に関する大きな問題に対処してきた経験があります。また、必要なツール、プロセス、人材が導入されており、受動的な活動にとどまらず、プロアクティブな活動ができている PSIRT のことです。このような PSIRT を目指すために、何をすべきでしょうか?
運用基盤
PSIRT プロセスを長期にわたって確立しましょう。経営層の長期にわたる信頼も必要です。プロセスの改善を続け信頼を保つことも必要でしょう。信頼を確保することで、ツールやスタッフ増員の予算を確保しやすくなります。
ステークホルダ
内部のステークホルダ
製品のリリース プロセスに意見を言えるようにしましょう。多く発見されている脆弱性などの情報を共有することで、開発プロセスが改善されるかもしれません。製品の開発会議に出席し、リリース スケジュールに精通しましょう。PSIRT の KPI を設定し、振り返りを行い継続的な改善をし続けることで、継続的に信頼を確保しましょう。
外部のステークホルダ
外部のステークホルダを把握し、脆弱性対応の仕組みや、プロセスの確立の支援をしましょう。このレベルの PSIRT は製品の利用者の満足度にも焦点をあてていくべきです。同業者や、セキュリティ研究者との連携を深めましょう。強力な関係を築くため、支援プログラムを提供することを検討してもいいでしょう。
脆弱性の発見
自社製品の追加機能などは把握し、準備をしている必要があります。複数のソースから脆弱性の報告を受け付けていて、脆弱性の報告を処理するツールが開発されている必要があります。PSIRT は積極的に脆弱性を発見することを支援している必要があります。スキャン・分析ツールなどを活用し、利用者が脆弱性の影響を受ける前に修正されるようにしましょう。また、問題が見つかったら、自社の別製品に横展開し、同様に問題が解決できるようにしましょう。SNS やマスメディアなどで流れている脆弱性のレポートについて積極的に監視して、自社の脆弱性の発見に役立てましょう。
脆弱性の分析
脆弱性に関するレポートを迅速に正確に処理できるプロセスを確立しましょう。有力なセキュリティ研究者のレポートを優先的に扱うプロセスや、レポートを再現させるプロセスの整備、レポートの再現性に関して開発者への協力を依頼するプロセスなどを決めておくとよいでしょう。
対応
脆弱性の対応が定期的に行われ、場当たり的な対応ではなく日常的な活動にしましょう。
開示
すべての利用者に情報がいきわたるようにしましょう。利用者にもさまざまな特性があるので、どのように伝えるのがベストなのか検討をしましょう。複数のベンダが影響を受ける脆弱性は、情報開示に関する調整のプロセスを確立しておく必要があります。
トレーニング
PSIRT に対しては、製品について、セキュリティ技術についてのトレーニングを実施する必要があります。内部ステークホルダには、PSIRT プロセスについてのトレーニングが必要で、どのトレーニングも継続的に実施しましょう。トレーニングは参加するだけでなく、積極的にトレーニング コンテンツを提供することも大切です。
まとめ
ステークホルダ マネジメント
長期的な信頼関係の維持が必要です。積極的に開発プロセスに関わる、KPI を設定し改善し続けることで確保しましょう。
外部にも目を向けましょう。利用者へも価値を提供する、同業他社、セキュリティ研究者などを連携することも検討しましょう。
脆弱性の発見・分析・対応
より多くの脆弱性を発見するために、さまざまなやり方を検討し、ツールやプロセスを導入しましょう。
レポートを迅速に分析するためのプロセスを確立し、開発者などと連携ができるようにしましょう。
リリースを定期的に実施することで利用者の負担を減らせます。
脆弱性の開示・トレーニング
さまざまな利用者に向けた開示プロセスを通じて、利用者の脆弱性対応を支援しましょう。
PSIRT は製品にも、セキュリティ技術にも精通している必要があります。学んで、積極的にトレーニング コンテンツを提供するなどで、自身を磨いていきましょう。
Pマチュ では、レベル3がゴールではない、と書いています。この目標を達成しても成長をし続けることが大事です。
Pマチュ 補足資料には、PSIRTが作るべきドキュメントの例が掲載されています。PSIRT 憲章・ポリシーの例、実企業の PSIRT が策定しているミッションステートメントなどが書かれています。
付録7では、PSIRT のレベルごとに対応すべき事柄がチェックリスト形式で記載されています。自社の PSIRT のレベルを測定し、成熟度を上げるために何をすべきか検討する際の参考資料になると思います。
サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「好き」のクリックをお願いします。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズに受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。
この記事が気に入ったらサポートをしてみませんか?