見出し画像

製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル1)

サイボウズのセキュリティ室

前回紹介した PSIRT Services Framework は PSIRT がやるべきことを網羅的にまとめたドキュメントです。今回紹介する PSIRT Maturity Document (以下、Pマチュ)は、PSIRT をゼロから構築し、成熟させる手順をステップ バイ ステップで解説しています。日本語版 は、日本シーサート協議会Software ISAC で翻訳し、FIRST 加盟チームがレビューしています。
PSIRT として活動したことがなく、チームの立ち上げから、脆弱性に対応する経験を積むレベル1から、数々の脆弱性を対応した百戦錬磨のレベル3までを定義し、それぞれ何をすべきかが書かれています。

PSIRT(レベル1)

PSIRT レベル1では、PSIRT の運用基盤を作り、脆弱性を発見し、分析、対応をし、開示するまでの一通りを経験します。

運用基盤の構築

PSIRT が活動できるように、運用基盤を固めましょう。経営層から PSIRT を立ち上げ、活動することの支援を確保します。ステークホルダを特定し、ステークホルダから求められていることを理解し、PSIRT から協力依頼事項を理解してもらいます。特定すべきステークホルダは PSIRT Services Framework に記載があります(社内では経営、開発、顧客担当部署、広報、法務など)。PSIRT には予算とリソースが必要です。必要な予算は PSIRT の規模により変わります。適切な予算とリソースを確保しましょう。PSIRT 活動のポリシーの策定と、プロセスの定義が必要です。プロセスは ISO/IEC 29147 脆弱性情報の開示ISO/IEC 30111 脆弱性ハンドリングポリシー (※購入が必要です。)が参考になります。

脆弱性の発見

まずは、脆弱性の連絡窓口を設置しましょう。サイボウズでは Webフォームから脆弱性を連絡いただけるようになっています。
※窓口を設置しただけで脆弱性を発見できるわけではないので、次のステップに進むため、セキュリティテストなどを通じて脆弱性をみつけましょう。

脆弱性情報のトリアージと分析

脆弱性の報告を受けたら、その報告が正しいか確認しましょう。そのためには、開発者の協力が必要な場合もあります。そして、脆弱性と認定するか判断をします。さらに分析を進め、どのバージョンで発生するのか、どのような影響があるのかを確かめ、優先度を判断します。優先度の判断には、CVSS (Common Vulnerability Scoring System)を利用するといいでしょう。報告を受けたあとの処理プロセスや役割分担を決め、脆弱性情報を保存するツールなどの整備が必要です。

対策

対策には、パッチのリリースなどのソフトウェアの修正を行ったり、脆弱性の影響を軽減するための手順を確立すること、などがあります。対策には選択肢があるので、適切な決定ができるようにしましょう。対策の決定プロセスを明確にする必要があります。

脆弱性情報の開示

対策が完了したら、社内外に脆弱性情報を開示しましょう。開示することでパッチなどの適切な対応を実施してもらえます。また、報告者に謝意を示すことで、良好な関係性を保ちましょう。情報開示の社内プロセスを明確にし、開示内容はレビューと承認プロセスを経て開示しましょう。

サイボウズではバグバウンティを運営しており、報告者には報奨金とともに謝意を掲示しています。

[PR] サイボウズでは、脆弱性情報を受け取ってから情報の開示までのプロセスを kintone で実施しています。どのように kintone を活用するかは 問い合わせ管理にキントーン のサイトをご覧ください。

まとめ

  • まずは運用基盤を構築する

    • 経営層から支援を受け、予算・リソースを確保する

    • ステークホルダを特定し、理解し、理解してもらう

    • 脆弱性を取り扱うプロセスを整備する

  • 発見、分析、対応、開示のプロセスを定める

    • 脆弱性連絡窓口を作る

    • 報告が来たら、再現確認と分析、CVSSで優先度を測る

    • 対策したら、情報を開示する

[PR] サイボウズでは、PSIRT 構築支援を実施しています。PSIRT プロセスの整備でお困りの場合は、ご連絡ください。

サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「スキ」のクリックをお願いします。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズで受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。
次は、Pマチュ レベル2を紹介します。ご期待ください。


この記事が気に入ったらサポートをしてみませんか?