製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(前編)
さまざまな製品・プロダクトがソフトウェアによって構成されています。ソフトウェアには脆弱性と呼ばれる不具合が含まれていることがあり、第三者から指摘を受けたり、攻撃を受ける場合があります。そのような製品に関するインシデントに対応するチーム(PSIRT)はどのようなことをしないといけないのでしょうか?PSIRT Services Framework が解説していますので、紹介します。
PSIRTとは?
Product Security Incident Response Teams の略です。製品・プロダクトに関するセキュリティ インシデントに対応するチームで、さまざまな企業で設置が進み、話題となっているチームです。
PSIRT Services Framework
PSIRT Services Framework(以下、P本)は、FIRST が作成し、日本語の翻訳を JPCERT/CC, Software ISAC が実施したドキュメントです。
(日本語版はこちら)
概要
P本は、6つのパートで構成されており、それぞれをサービスエリアと呼んでいます。
ステークホルダ マネジメント(PSIRTの存在を支えるためやるべきこと)
脆弱性の発見(PSIRTの業務)
脆弱性の分析(〃)
脆弱性の対応(〃)
脆弱性の公開(〃)
トレーニング(PSIRTの能力強化のためやるべきこと)
それぞれのサービスエリアで PSIRT がやるべきことを細かく解説しています。また PSIRT 活動の効果測定のためのメトリクスが紹介されているので、P本を参考に PSIRT 活動に漏れがないか、どのように活動を成熟させるのか参考になると思います。まずは、P本で最も記載が多く重要な "ステークホルダ マネジメント" からみていきましょう。
ステークホルダ マネジメント
PSIRT が良好な関係を構築すべきチーム・人について書かれており、なぜ関係性を構築すべきか、どのように良好な関係を継続していくのかについて書かれています。
ステークホルダ を特定する
社内のステークホルダ
社長などの経営者
製品の責任者、製品の開発者
製品サポートチーム、顧客対応チーム
法務
経営者には、予算を付けてもらい、活動の支援をしてもらわないといけません。脆弱性が発見された場合には、開発チームに原因の調査や、実際の対応をお願いする必要があります。サポートや営業経由で脆弱性の報告が来る可能性があるので PSIRT に連絡してもらう必要があるでしょう。また発見者が違法な方法で問題を報告してくるかもしれません。法務と連携して対応が必要なケースもあるでしょう。
社外のステークホルダ
脆弱性の発見者
ソフトウェア部品の供給元
顧客などの製品利用者
他社のPSIRTなど
社外にもステークホルダは存在し、脆弱性を発見してくれた人とは信頼関係を築き、今後もよりよい脆弱性の報告をもらえるようにする必要があります。脆弱性が発見された場合に、影響を受けないようにするため顧客などの利用者への通知方法を確保しておく必要があります。また、他社の PSIRT と連携することで、さまざまな知見を共有することができます。
ソフトウェアにおける上流と下流
1社で製品をすべて生産することはなくなってきており、第三者(OSSなども含む)が開発したソフトウェアを部品として組み込むことで製品とするケースもあれば、自社が部品として提供するケースもあるでしょう。上流に対しては、どのように脆弱性情報の提供を受けるのかプロセスの確立が必要ですし、下流(直接の利用者というケースも)に対しては、どのように脆弱性の情報を通知するのか、定義しておく必要があります。
バグバウンティの利用
脆弱性の情報を受け付ける窓口を設置し、報告者とベンダーとの間を取り持ってくれるバグバウンティを提供しているサービスがあります。そのようなサービスを活用することで、報告者とのコミュニケーションを円滑に保つという方法もあります。
サービスエリア1では、その他にも社内外のステークホルダと協力したり、情報交換が必要な事案について書いてあります。より詳細に PSIRT が関係を築くべき組織や、方法について知りたい場合は、FIRST が公開しているP本(日本語版)をご確認ください。
まとめ
6つのサービスエリア
PSIRT がやるべき業務を6つ定義している
ステークホルダ マネジメントは重要
これを実施しないと PSIRT が存在できない
ステークホルダは、社内外に存在する
さまざまなチーム・人との協力関係が重要
次回は、中編としてP本のサービスエリア2/3を紹介します。
中編はこちらから↓
サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。
この記事がよかった、参考になったと思われた方は「好き」のクリックをお願いします。
また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズに受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。
この記事が気に入ったらサポートをしてみませんか?