見出し画像

製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(中編)

サイボウズのセキュリティ室


前編 では、PSIRT のステークホルダ マネジメントについて、紹介しました。今回は PSIRT の実業務である、脆弱性を発見すること、脆弱性をトリアージと分析することについて紹介します。P本の日本語版は こちら です。
前編はこちらです↓


脆弱性の発見

脆弱性を攻撃者にみつけられ攻撃される前に、発見し対応することが製品のセキュリティ対策として重要です。どのように脆弱性を発見するのかサービス エリア 2 では、発見方法が記載されています。

窓口を準備する

脆弱性を発見したセキュリティ研究者が迷わないよう、窓口を準備しましょう。窓口は、メールアドレスや Webフォームなどが考えられます。別の窓口(例えば、お客様窓口など)から連絡が来ることもあるので、PSIRT にエスカレーションされるようにしましょう。また、提出様式を定めておくことで、レポートを品質を保つことができます。(質の低いレポートは再現が困難です。)サイボウズでも 連絡窓口 を設置しています。

サイボウズの脆弱性連絡窓口
サイボウズの脆弱性連絡窓口

攻撃者DBなどの監視をする

攻撃情報を扱っているデータベースや、セキュリティ カンファレンスなどで自社製品・プロダクトに関する脆弱性情報が公開されていないかチェックをしましょう。著名なセキュリティ研究者が発見して、情報が公開されている可能性があります。

コンポーネントの脆弱性を発見する

OSS などをコンポーネントとして組み込んで製品・プロダクトを開発しているケースが多数だと思います。コンポーネントに脆弱性があった場合、製品にも影響がでる場合があります。組み込んでいるコンポーネントの脆弱性を発見できるよう、以下の2点に取り組みましょう。

  • コンポーネントの把握

  • コンポーネントの脆弱性情報の収集

利用しているコンポーネントを把握しないと、影響があるかわかりません。利用しているコンポーネントの脆弱性情報が通知されるなら問題ありませんが、多くの場合、情報を収集しにいかないと得ることができません。コンポーネントを把握し、そのコンポーネントの脆弱性情報がどこで公開されているか把握し、定期的に確認しましょう。

自社で脆弱性を発見する

製品・プロダクトの脆弱性を発見するには専門知識が必要です。攻撃の手法や、発見するためのツールの利用方法の知識など、高度な知識が必要となります。自社で脆弱性を発見するチームを作ることを検討してもいいですし、セキュリティ会社にお任せすることでもいいでしょう。どちらにしても、リリース後に、外部から指摘を受けると対応コストが高いので、できるだけ公開前に脆弱性を潰せるようにするのがいいでしょう。

トリアージと分析

脆弱性情報を受け取った PSIRT は、情報を案件として管理することになります。脆弱性情報の管理プロセスを明確にし、どのような情報を脆弱性と認定するか定義しましょう。脆弱性の対応を決定するためには、脆弱性を分析しないといけません。そのために必要なのが再現性の確保です。

[PR]
サイボウズでは、脆弱性の管理プロセスを kintone を使って実施しています。kintone の製品説明は、公式サイト をご確認ください。

脆弱性の認定

自社が対応したい脆弱性について定めておかないと、あらゆる問題が脆弱性となりえます。脆弱性と認定する基準を決めておきましょう。サイボウズでは、脆弱性の 認定基準 を Github 上で公開しています。

発見者との関係構築

精度の高い脆弱性情報を送ってくれる発見者からの情報は、とても有益です。発見者のデータベースを構築し、その発見者からの連絡はトリアージ プロセスの一部を省略して対応するなどの対応を検討してもいいでしょう。有益な情報をくれる発見者とは、良好な関係を維持しましょう。

脆弱性の再現

脆弱性情報は、再現をさせないと正しく分析できません。受け取った脆弱性が再現できるようにテスト用の環境を構築し、維持する必要があります。その脆弱性が別の製品や、別のバージョンでも発生しないか確認しましょう。脆弱性の再現には、特殊なツールが必要なケースもあれば、他の専門家や、開発者に再現を確認するための援助が必要なこともあるでしょう。

まとめ

  • 脆弱性の発見のため

    • 脆弱性連絡窓口を設置しましょう

    • コンポーネントの管理、脆弱性情報の収集をしましょう

    • セキュリティテストをしましょう

  • 脆弱性の分析のため

    • 認定基準を作って、対応すべき脆弱性を明らかにしましょう

    • 脆弱性が再現しないと分析できないので、テスト環境、ツール、専門家の確保をしましょう

次回(後編)は、P本紹介の最終回です。サービスエリア 4 /5 /6 を紹介します。
後編はこちらから ↓

サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「スキ」のクリックをお願いします。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズで受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。

この記事が気に入ったらサポートをしてみませんか?