見出し画像

製品・プロダクトのセキュリティを守るチーム(PSIRT)は何をする?PSIRT Services Framework 紹介(後編)


中編 では、脆弱性の発見、トリアージ・分析について、紹介しました。今回は PSIRT 脆弱性に対応すること、脆弱性公開すること、PSIRT のトレーニングについて紹介します。より詳しく知りたい場合は、P本(日本語版)をお読みください。
前回の記事(中編)はこちらです↓

対策

対策とは、発見された脆弱性に対してパッチなどの対策版をリリースするすることや、特定のリクエストをブロックするなどの緩和策を公開するなどで脆弱性の影響を受けないようにすることです。

対策のマネジメント計画

製品のライフサイクルを管理しましょう。どのような製品をリリースしているのか棚卸し、サポートモデル・サポート期間を把握して、どの製品の脆弱性の対策が必要なのか把握しましょう。

対策版の提供方法を把握しましょう。パッチの手動適用、自動アップデートなど、提供方法、適用形態を把握しましょう。

提供間隔を決めましょう。一定の間隔でメンテナンス リリースがあると、利用者が適用するスケジュールを立てやすくなります。

対策の分析

対策を打つ前に、対策の分析をしましょう。修正すべきバージョンや、特別なサポート契約の有無を確認します。対策版リリース以外に緩和策があるか確認するなど、対策版をリリースすべきか、対策の範囲などを決定するための分析を行います。

対策の決定

対策版のリリース前に品質保証(QA)、セキュリティ担当者、発見者の確認が必要です。対策による既存機能のデグレや、脆弱性の修正漏れを防ぐために実施しましょう。

インシデント ハンドリング

意図せず脆弱性情報が公開されてしまったり、未知の脆弱性を突いた攻撃が観測されるなど、インシデントに発展してしまうことがあります。このような場合には、対策のリリースを早めるなどの緊急の対応が必要となります。

緊急対策室を立ち上げて、必要なリソースを確保し、役割分担を明確にし、適切な意思決定ができる体制を構築しましょう。

インシデント管理を実施し、情報を一元管理し、分析結果をまとめ、時系列でアクションをまとめておき、インシデント対応後には再発防止策を検討できるようにしましょう。

コミュニケーション計画を立てましょう。社内での情報共有範囲や、インシデントに関する広報窓口の一本化、復旧後の社内外への説明などのコミュニケーション計画の検討が必要です。

脆弱性の開示

脆弱性の対策版は、適用しないと対策になりません。知らないと対策できないので、情報の開示が重要です。また対策版リリース前に、脆弱性の存在を通知する必要がある関係者も存在します。

脆弱性情報の通知

下流ベンダー
脆弱性が発見されたときに脆弱性の存在を通知しておくことで、適切な対応ができます。自社のソフトウェアを部品として組み込んでいるメーカーなどがその例です。これらのベンダーとは、脆弱性情報の通知プロセスを事前に決めておくとよいでしょう。

調整者
複数のベンダーが関わっている場合、脆弱性情報の開示プロセスを調整してくれる調整者が関わるケースがあります。

発見者
発見者には、脆弱性が再現し脆弱性と認定した場合には通知しましょう。

脆弱性情報の開示に関する調整

複数のベンダーが関わる場合は、脆弱性情報の開示時期について調整しておく必要があります。一部ベンダーが対策をリリースしていないのに、脆弱性情報が開示されることを防ぎましょう。

脆弱性情報の開示

対策版がリリースされたら、脆弱性情報を開示しましょう。リリースノート、セキュリティ アドバイザリ、ナレッジベースなどの方法で開示されることが多いです。社内で開示内容に関するレビュープロセスの整備や、開示に関する承認プロセスを整備しましょう。外部の発見者が望む場合は、発見者に対する謝辞を掲載するのが望ましいです。

サイボウズでは、不具合情報公開サイト を通して脆弱性情報を開示しています。内容が公開されると、「サイボウズからのお知らせ セキュリティ情報」で通知されます。

サイボウズからのお知らせ
サイボウズからのお知らせ

トレーニング

トレーニングは、PSIRT メンバーに対するものもあれば、PSIRT 以外のメンバーに PSIRT プロセスについてのトレーニングも含まれます。

PSIRT のトレーニング

PSIRT には、さまざまなトレーニングが必要です。製品に使われている技術、脆弱性について、PSIRT プロセス、法律などの知識が必要になります。また、PSIRT にはさまざまなステークホルダと関わって仕事を進めることになるので、コミュニケーションに関するスキルも求められます。

その他のチームへのトレーニング

開発チーム、脆弱性診断チームには、PSIRT プロセスを知っておいていただく必要があります。また、その他のチームへも PSIRT の役割・存在意義を理解いただき、PSIRT の対応が必要な事案が発生した場合に、適切に連絡が来るようにしておく必要があります。

[PR] サイボウズでは、各チームごとに kintone のポータルを作り、チームの役割などが確認できるようにしています。kintone ポータル機能は 公式サイト をご確認ください。

まとめ

  • 対策とは、脆弱性の影響を受けないようにすること

    • 対策前に自社製品を棚卸し、サポート期間などを把握しましょう。

    • 脆弱性情報が意図せず公開されるなどのインシデントが起こる可能性があります。対策室を設置、役割分担を明確にして対応しましょう。

  • 脆弱性の開示

    • 下流ベンダーなど脆弱性情報を事前に通知すべき場合があります。事前にプロセスを決めておきましょう。

    • 対策したら、リリースノートなどで情報を開示しましょう。

  • トレーニング

    • PSIRT は高度かつさまざまな知識・スキルが必要になります。また、コミュニケーションスキルも大切です。

    • PSIRT 以外のチームにも、存在意義、役割を伝えましょう。


サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。この記事がよかった、参考になったと思われた方は「スキ」のクリックをお願いします。また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズで受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。

この記事が気に入ったらサポートをしてみませんか?