Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Management for Security Life Cycle (日本語版)

9.921 Aufrufe

Veröffentlicht am

APPSEC APAC 2014 にて講演した資料の日本語版となります。
当日利用した資料は、こちらから参照いただけます。
https://speakerdeck.com/owaspjapan/management-for-security-life-cycle-number-appsecapac2014

Veröffentlicht in: Ingenieurwesen
  • If you want to download or read this book, copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } .........................................................................................................................
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • If you want to download or read this book, copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } .........................................................................................................................
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • ACCESS that WEBSITE Over for All Ebooks (Unlimited) ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... DOWNLOAD FULL EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M }
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Antworten 
    Sind Sie sicher, dass Sie …  Ja  Nein
    Ihre Nachricht erscheint hier

Management for Security Life Cycle (日本語版)

  1. 1. 脆弱性ライフサイクル管理 Akitsugu Ito @springmoon6
  2. 2. About Me • サイボウズ株式会社でサービス / プロダク トの脆弱性検証を行うチームに所属して います • その他に、自社のセキュリティ品質の向 上のための活動をしています – 脆弱性対応の統括と対外窓口(POC) – 組織内のセキュリティ全般について議論 – Security Challenge の運営を行いました
  3. 3. 今日お話しすること • 脆弱性のライフサイクル管理 – 受け付けた脆弱性を、どのように取り扱うか Accept Develop Publish Vulnerability disclosure Vulnerability handling processes
  4. 4. • サイボウズの脆弱性情報ハンドリング • 定量的な脆弱性情報の評価プロセス • 自社の開発プロセスへの取り込み • プロセスの改善 • ISO/IEC 29147 および ISO/IEC 30111 Agenda
  5. 5. • サイボウズの脆弱性情報ハンドリング • 定量的な脆弱性情報の評価プロセス • 自社の開発プロセスへの取り込み • プロセスの改善 • ISO/IEC 29147 および ISO/IEC 30111 Agenda
  6. 6. サイボウズの 脆弱性情報ハンドリング 社内検出 評価 改修 報告者へ 返答 外部から の 報告 各サービス サポート窓口 • 脆弱性情報ハンドリングフロー(~ 2006 年) 自社公開
  7. 7. サイボウズの 脆弱性情報ハンドリング • 2006 年以前 – 脆弱性情報を扱うチームはありませんでした • 通常の問い合わせ窓口で対応していました – 脆弱性情報は、自社で定めた不具合重要度判 定ルールに沿って、評価していました • これまでに検出されてきた不具合を抽象化 • 抽象化した不具合ごとに、不具合の重要度を設定 し、重要度の高い問題から、優先して改修 – 脆弱性の評価は各製品の品質保証担当者が 行っていました
  8. 8. サイボウズの 脆弱性情報ハンドリング • 2006 年 – 改修された脆弱性情報が適切に公開されてい ない旨、ご指摘 をいただきました • 改修した脆弱性のうち、サイボウズが非公開の脆 弱性が存在した • サポート担当者が適切な回答が出来なかった
  9. 9. サイボウズの 脆弱性情報ハンドリング • 脆弱性情報の取り扱い方に問題 – 脆弱性情報について、お客様からのお問い合 わせを受け付ける専門のチームが無い – どのような現象を脆弱性として捉えるか、整 理できていない – 脆弱性情報を公開するポリシーが明確ではな い
  10. 10. サイボウズの 脆弱性情報ハンドリング • 2006 年 ~ 2009 年 – 外部の方との調整を行う PSIRT を設立 • 各製品のマネージャー担当が有志で活動 – PSIRT は対外窓口業務に専念 – 脆弱性の評価や公開調整は各サービスが権限 を持つことになりました • 自社の独自基準に沿って脆弱性情報の判定を行っ ていました • 対応基準、公開基準は、サービスごとに異なりま した
  11. 11. サイボウズの 脆弱性情報ハンドリング 社内検出 評価 改修 報告者へ 返答 外部から の 報告 各サービス PSIRT • 脆弱性情報ハンドリングフロー(~ 2009 年) 自社公開 外部公開
  12. 12. サイボウズの 脆弱性情報ハンドリング • 2011 年 ~ – サイボウズに組織内 CSIRT が作成されました • 自社クラウドサービスを開始することがきっかけ • 専任の POC 担当者(2名)を設置 – 社内で検出された脆弱性情報は、CSIRT に集約 することにしました • サービス、担当者ごとに脆弱性の評価が異なって いた問題点を解消することが目的 • 脆弱性情報を公開可否を判断する権限は各サービ スが持つ
  13. 13. サイボウズの 脆弱性情報ハンドリング 社内検出 改修 報告者へ 返答 外部から の 報告 各サービス Cy-SIRT • 脆弱性情報ハンドリングフロー(2011 年 ~) 自社公開 評価 外部公開
  14. 14. サイボウズの 脆弱性情報ハンドリング • 発生した問題 – 評価への納得感が得られない • 多くの脆弱性が 「緊急対応」と判断されていた – 攻撃の容易さが評価されていない • 攻撃が成功した時の危険性のみを評価していた – 第三者が作成したソフトウェアの脆弱性を評 価することができない • パッチを適用するべきかどうかが判断できなかっ た
  15. 15. サイボウズの 脆弱性情報ハンドリング • 問題解決のために – 定量的な脆弱性情報の評価プロセスを調査 – 脆弱性情報のハンドリングプロセスについて 調査 • 調査結果をもとに、新たなプロセスを策 定
  16. 16. • サイボウズの脆弱性情報ハンドリング • 定量的な脆弱性情報の評価プロセス • 自社の開発プロセスへの取り込み • プロセスの改善 • ISO/IEC 29147 および ISO/IEC 30111 Agenda
  17. 17. 定量的な脆弱性情報の 評価プロセス • 採用要件 – 脆弱性の評価基準を標準化できること – 脆弱性のリスクを定量的に測定できるフレー ムワークであること • 調査対象 – OWASP Risk Methodology – CVSS v2
  18. 18. 定量的な脆弱性情報の 評価プロセス • OWASP Risk Methodology – OWASP が提唱する Web アプリケーションの 脆弱性がビジネスに与えるリスクの見積もり 方 • Risk = Likelihood(攻撃可能性) * Impact – 攻撃可能性と影響度をそれぞれ2つの観点で 10 段階評価(0 ~ 9)し、平均値を算出 – 評価結果をマトリクスに割り当て、脆弱性の 深刻度を測定
  19. 19. 定量的な脆弱性情報の 評価プロセス • 評価結果の平均値を3段階に分類 – Low(0 to < 3) – Medium(3 to < 6) – High(6 to 9)
  20. 20. 定量的な脆弱性情報の 評価プロセス • 良いところ – リスク評価の判断軸が分かり易い – 詳細にリスク評価できる – 各評価項目に判断用の具体的なガイドライン が存在する
  21. 21. 定量的な脆弱性情報の 評価プロセス • Likelihood - Threat Agent Factor (Skill Level) – Security penetration skills (1) – network and programming skills (3) – advanced computer user (4) – some technical skills (6) – no technical skills (9)
  22. 22. 定量的な脆弱性情報の 評価プロセス • 使いづらいところ – 採用実績が少ない(もしくは無い) • 社内向けに説明する際には必要 • 自社向けにガイドラインを作成する際にも、他機 関の評価結果を参考にしたい – 12 ~ 16 項目の評価が必要で評価工数は高め – 過去に判断した脆弱性との整合性を確保する ことが難しい • 16 項目の評価基準が 10 段階評価
  23. 23. 定量的な脆弱性情報の 評価プロセス • CVSS v2 – 情報システムの脆弱性に対するオープンで汎 用的な評価手法( Common Vulnerability Scoring System ) – http://www.ipa.go.jp/security/vuln/CVSS.html • 脆弱性のリスクを定量化できる – 脆弱性の深刻度を 0.0 ~ 10.0 のスコアで評価
  24. 24. 定量的な脆弱性情報の 評価プロセス • CVSS v2 の評価観点 – 攻撃元区分(AV) – 攻撃の難易度(Ac)、攻撃者の認証要否 (Au) – 機密性(C)、完全性(I)、可用性(A)の侵 害具合 • 各評価観点を3段階で評価 – 評価結果は独自の計算式で基本値を算出 – 脆弱性の種別(CWE)を評価に加味する
  25. 25. 定量的な脆弱性情報の 評価プロセス • 基本値を元に、脆弱性の深刻度を評価 – CVSS スコア:レベルⅢ (危険) (7.0 ~ 10.0) – CVSS スコア:レベルⅡ (警告) (4.0 ~ 6.9) – CVSS スコア:レベルⅠ (注意) (0.0 ~ 3.9) • ベンダーからリリースされた基本値を元 に、利用者は自社への影響度を測定でき
  26. 26. 定量的な脆弱性情報の 評価プロセス • 良いところ – 評価実績が豊富 • 2012 年時点で 30000 件以上の評価が JVN iPedia で 公開されていた – 自社の脆弱性情報を外部の機関に評価いただ いたことがある • 2011 年 12 月までに、19 件 • 使いづらいところ – 評価に参考になる資料が少ない • 評価のための Tips は存在する
  27. 27. 定量的な脆弱性情報の 評価プロセス • CVSS v2 を採用することにしました – 脆弱性の評価を標準化する目的に合致してい た – 第三者が作成したソフトウェアでも広く利用 されていた
  28. 28. • サイボウズの脆弱性情報ハンドリング • 定量的な脆弱性情報の評価プロセス • 自社の開発プロセスへの取り込み • プロセスの改善 • ISO/IEC 29147 および ISO/IEC 30111 Agenda
  29. 29. 自社の開発プロセスへの 取り込み • 採用にあたって準備したこと – 自社の脆弱性の調査 – 評価プロセスの策定 – 脆弱性対応フローへの適用 • 準備期間 – 1か月程度
  30. 30. 自社の開発プロセスへの 取り込み • 自社の脆弱性の調査 – 2010 年~ 2011 年に検出された自社の全製品 の脆弱性情報を1つのデータベースに集約 • 120 件前後 – 全ての脆弱性情報を、CVSS v2 を使って評価 – 当初は複数人で調査 • 複数人で作業すると、評価結果が合わないことが 頻発し、まずは1名で作業することに
  31. 31. 自社の開発プロセスへの 取り込み • これまでの社内基準 • CVSS v2 をつかった評価結果 緊急対応 49 警告 65 Level Ⅲ (HIGH) 17 Level Ⅱ(MIDDLE) 59 LevelⅠ(LOW) 38
  32. 32. 自社の開発プロセスへの 取り込み • 採用する脆弱性タイプ(CWE)を検討 – CVSS 評価を行う際に、脆弱性タイプごとに、 評価観点が統一されるため – XSS (AV/Ac/Au/C/I/A:-/-/-/N/P/N) • 外部の機関と評価結果を合わせるために は、自社で採用する脆弱性タイプを決め る必要がある
  33. 33. 自社の開発プロセスへの 取り込み • CWE(Common Weakness Enumeration) – 共通脆弱性タイプ一覧 – 脆弱性の種類を識別し、体系立てて管理する ことが目的 – 米国政府の支援を受けて MITRE が中心に仕様 を策定 • 米国政府向けの技術支援や研究開発を行う非営利 組織 – 2008 年 9 月 9 日にバージョン 1.0 が公開
  34. 34. 自社の開発プロセスへの 取り込み • CWE の選定 – 過去2年間に検出された脆弱性 – 外部のプロジェクトで検査基準として採用さ れている CWE を収集し、共通して採用されて いる脆弱性を抽出 • JVNiPedia • IPA Web 健康診断 • OWASP Top 10 Project
  35. 35. 自社の開発プロセスへの 取り込み • 評価プロセスの策定 – 複数人で評価しても評価結果がある程度ぶれ ないようにする仕組みが必要 • ガイドラインの策定 – 120 件の脆弱性情報を評価した結果を元に、 自社で使いやすい具体的な評価ガイドライン を策定 – ガイドラインを元に評価した内容を、2名以 上でレビューする
  36. 36. 自社の開発プロセスへの 取り込み • CVSS v2 を開発プロセスに組み込む – 3段階の脆弱性の深刻度に応じて、脆弱性を 改修する優先度を設定 • 深刻度の高い脆弱性を優先して改修する – CWE の種別によって、優先度を上げて対応す るべき脆弱性は個別にルール化 • SQL Injection は 「レベルⅡ(警告)」 でも優先し て改修する • XSS の中でもより深刻な物は、優先して改修する
  37. 37. 自社の開発プロセスへの 取り込み • 導入後2年間の深刻度分布 33 99 178 レベルⅢ レベルⅡ レベルⅠ
  38. 38. 自社の開発プロセスへの 取り込み • 導入後2年間の脆弱性分布 CWE-264 29% CWE-79 24% CWE-20 12% CWE-89 9% CWE-399 6% CWE-200 5%
  39. 39. 自社の開発プロセスへの 取り込み • 導入後2年間の脆弱性分布 – 以下の脆弱性が全体の7割を占める • CWE-264 認可・権限・アクセス制御 • CWE-79 クロスサイト・スクリプティング (XSS)) • CWE-20 不適切な入力確認 • CWE-89 SQL インジェクション
  40. 40. 自社の開発プロセスへの 取り込み • 導入の効果 – 脆弱性の評価を標準化できた – 脆弱性の深刻度を社外に説明できた • ベンダーとして脆弱性の詳細情報を伝えずに、脆 弱性の深刻度を説明することは困難だった • 同じように非公開の脆弱性情報を元に、外部機関 が脆弱性の深刻度を評価するのは困難だと思いま す – 脆弱性情報を集約することで、他のプロジェ クトへの情報共有が可能になった
  41. 41. 自社の開発プロセスへの 取り込み • 現在の課題 – CVSS v2 では評価できない脆弱性 • 2つ以上の脆弱性が組み合わさってより大きなイ ンシデントが発生する場合、それぞれの脆弱性を 評価することしかできない • 発生する被害を考慮して、柔軟に対応する – CVSS v3 の採用検討 • 2014 年 6 月にリリースされる予定 • 評価方式が大きく変わるので、再評価が必要
  42. 42. • サイボウズの脆弱性情報ハンドリング • 定量的な脆弱性情報の評価プロセス • 自社の開発プロセスへの取り込み • プロセスの改善 • ISO/IEC 29147 および ISO/IEC 30111 Agenda
  43. 43. プロセスの改善 社内検出 改修 報告者へ 返答 外部から の 報告 各サービス Cy-SIRT • 脆弱性情報ハンドリングフロー(2011 年 ~) 自社公開 評価 外部公開
  44. 44. プロセスの改善 • 実際に起きたインシデント – 外部機関と脆弱性情報の公開時期を調整中 に、自社で不具合として公開してしまった – 公開した情報を元に、お問い合わせを複数い ただき、当初想定していた脆弱性情報の外部 公開時期を早めた 脆弱性への対抗策のリリースポリシーが不明確 である点について、多くの方からご指摘いただ く
  45. 45. プロセスの改善 • 問題点 – 自社で不具合情報を公開するチームと、CSIRT で脆弱性情報が一元管理されていない – 脆弱性に対応する基準が公開されていない – 脆弱性情報を公開する基準が明確に定められ ていない
  46. 46. プロセスの改善 • 課題に解決にあたって – 体系立ててまとめられたフレームワークに 沿って、情報を公開することはできないか • ちょうどその頃、JPCERT/CC 様から良い情 報をいただく – ISO/IEC 29147 – ISO/IEC 30111
  47. 47. • サイボウズの脆弱性情報ハンドリング • 定量的な脆弱性情報の評価プロセス • 自社の開発プロセスへの取り込み • プロセスの改善 • ISO/IEC 29147 および ISO/IEC 30111 Agenda
  48. 48. ISO/IEC 29147 ISO/IEC 30111 • 脆弱性の取り扱い方法に関する国際規格 – ISO29147 Vulnerability disclosure – ISO30111 Vulnerability handling processes – 脆弱性情報の開示と脆弱性の対応に関して標 準化することを目的とした国際規格 • 2013 年初頭はどちらも DIS 投票中 – 国際基準として採択されるための投票
  49. 49. ISO/IEC 29147 ISO/IEC 30111 • イメージ Accept Develop Publish Vulnerability disclosure (ISO/IEC 30111) Vulnerability handling processes (ISO/IEC 29147)
  50. 50. ISO/IEC 29147 の活用 • Vulnerability disclosure • ベンダーと外部の関係者とのやり取り (イン ターフェース)に着目して記述 – 脆弱性を検出したユーザー(またはコーディネー ター)がベンダーに連絡する – 届け出を受けたベンダーが脆弱性情報を公開する • 2014 年 2 月 5 日に公開 – http://www.webstore.jsa.or.jp/webstore/Com/FlowCo ntrol.jsp?lang=jp&bunsyoId=ISO%2FIEC+29147%3A20 14&dantaiCd=ISO&status=1&pageNo=1
  51. 51. ISO / IEC 30111 • Vulnerability handling processes • ベンダー内部の取扱いに着目して記述 – CSIRT / PSIRT や各部門の役割と責任範囲を例示 – オンラインサービスとプロダクトの対応が分けて 記載されている • 2013 年 10 月 22 日に公開 – http://www.webstore.jsa.or.jp/webstore/Com/FlowCo ntrol.jsp?lang=jp&bunsyoId=ISO%2FIEC+30111%3A20 13&dantaiCd=ISO&status=1&pageNo=0
  52. 52. ISO/IEC 29147 ISO/IEC 30111 • 自社で採用するにあたり – 国際規格に準拠することが目的では無い – プロセスを改善するためのガイドラインとし て利用 – 急がない • 大きな枠組みはそのまま採用する – 脆弱性対応フロー – 脆弱性情報公開フロー
  53. 53. ISO/IEC 29147 ISO/IEC 30111 社内検出 改修 報告者へ 返答 外部から の 報告 各サービス Cy-SIRT • 脆弱性情報ハンドリングフロー(2013 年 ~) 自社公開 評価 外部公開
  54. 54. ISO/IEC 29147 ISO/IEC 30111 社内検出 改修 報告者へ 返答 外部から の 報告 各サービス Cy-SIRT • 脆弱性情報ハンドリングフロー(2013 年 ~) 自社公開 評価 外部公開
  55. 55. ISO/IEC 29147 の活用 • 脆弱性情報の受付窓口を明確にしました – CSIRT 記述書を公開しました – https://www.cybozu.com/jp/features/manageme nt/cysirt.html • 自社から公開する脆弱性情報の内容を改 善 – 自社で公開する脆弱性記事に自社の CVSS v2 の評価結果を付記しました – 外部に公開した脆弱性情報には CVE 番号を付 記するようにしました
  56. 56. ISO / IEC 29147 の活用
  57. 57. ISO / IEC 29147 の活用 • 謝辞ページを公開 – 脆弱性情報を報告いただいた方に、お名前の 掲載を許可いただいた場合、ホームページに 情報を掲載しています。 – http://cybozu.co.jp/specialthanks.html
  58. 58. ISO / IEC 30111 の活用 • 脆弱性情報を登録したデータベースを活 用 – 自社の不具合情報を公開する各チームと脆弱 性情報データベースを共有 – 脆弱性情報を公開するためのワークフローを データベースに実装 – 脆弱性情報を外部に公開する前に、Cy-SIRT が レビューするように変更
  59. 59. ISO / IEC 30111 の活用 • 自社で利用する第三者が作成したソフト ウェアの棚卸し – 第三者が作成したソフトウェアの脆弱性情報 を日時で収集し、関係者に共有 – 第三者が作成したソフトウェアに起因する脆 弱性が検出された際には、開発元に連絡 – 利用するソフトウェアに脆弱性が含まれた場 合の対応ポリシーを策定
  60. 60. ISO/IEC 29147 ISO/IEC 30111 • 脆弱性への対応と、情報公開基準の公開
  61. 61. ISO/IEC 29147 ISO/IEC 30111 • 脆弱性情報公開フロー – 以下のいずれかに当てはまる場合、情報を公開す る • お客様が対抗策を導入する際に、作業が発生する場合 • 弊社内で情報セキュリティインシデントが発生した結 果、お客様に被害が発生した場合 • 外部の方から指摘いただいた場合 • 脆弱性対応フロー – 検出された脆弱性は脆弱性の深刻度に 対 応する
  62. 62. ISO/IEC 29147 ISO/IEC 30111 • 導入の効果(脆弱性情報公開フロー) – 脆弱性情報の公開内容を標準化できた • 脆弱性情報を利用する方に役立つ情報を掲載でき るようになった – 外部の方とより積極的な協力体制を築くこと ができるようになった • 脆弱性発見コンテストの開催(2013 年 11 月開 催) • 脆弱性検証環境提供プログラム (2 月開始) • 脆弱性報奨金プログラムの開始 (4月予定)
  63. 63. ISO/IEC 29147 ISO/IEC 30111 • 現在の課題(脆弱性情報公開フロー) – 外部の評価機関との連携 • 外部の評価期間が評価した深刻度と差異が出た場 合、説明が困難になる • 評価機関と連携し、適切な脅威評価を行う – 第三者が作成したソフトウェアの脆弱性管理 • 十分なセキュリティ情報が公開されない場合、自 社のソフトウェアでどのように対抗策を打つべき か
  64. 64. ISO/IEC 29147 ISO/IEC 30111 • 導入の効果(脆弱性対応フロー) – 脆弱性に対応する基準を外部に公開し、明確 化することが出来た – 全社的に利用できる脆弱性情報データベース を構築できた – 第三者が作成したソフトウェアの脆弱性情報 を収集し、計画的に更新できるようになった
  65. 65. ISO/IEC 29147 ISO/IEC 30111 • 現在の課題(脆弱性対応フロー) – 脆弱性として受理するかどうか • CWE として定義されていないような攻撃方法 • ソーシャルエンジニアリングを活用した攻撃方法 – 一般的な不具合と脆弱性の対応優先度 • セキュリティ以外の品質を侵害する不具合と、脆 弱性をどのような優先度で対応するか
  66. 66. まとめ • 国際標準規格を参考に、脆弱性情報の取 り扱い方法を改善しました – Vulnerability handling processes • CVSS v2 の採用 • 第三者ソフトウェアの取り扱い – Vulnerability disclosure • 公開プロセス / 公開内容の改善 (CVE) • 外部の方との協力体制(謝辞 / Bug Bounty Proglam)
  67. 67. ご質問など • ご清聴いただきありがとうございました
  68. 68. 参照資料 • 共通脆弱性識別子 CVE 概説(IPA) – http://www.ipa.go.jp/security/vuln/CVE.html • 脆弱性対策の効果的な進め方(IPA) – https://www.ipa.go.jp/files/000035701.pdf • 一般社団法人JPCERTコーディネーションセ ンター 様ご提供資料
  69. 69. References 1 • サイボウズが採用する CWE (17 種類) – CWE-16 環境設定 – CWE-20 不適切な入力確認 – CWE-22 パストラバーサル – CWE-78 OS コマンドインジェクション – CWE-79 クロスサイト・スクリプティング (XSS)) – CWE-89 SQL インジェクション – CWE-93 CRLF Injection(メールヘッダ・インジェク ション) – CWE-113 HTTPヘッダ・インジェクション – CWE-200 情報漏えい – CWE-264 認可・権限・アクセス制御
  70. 70. References 1 • サイボウズが採用する CWE (17 種類) – CWE-287 不適切な認証 – CWE-352 クロスサイト・リクエスト・フォージェ リ(CSRF) – CWE-362 競合状態 – CWE-384 Session Fixation – CWE-399 リソース管理の問題 – CWE-601 オープンリダイレクタ – CWE-614 ログインの不備 - クッキーのセキュア属 性不備 – CWE-Other(その他) – CWE-DesignError(システム設計上の問題)
  71. 71. References 2 • AC(攻撃条件の複雑さ):「低」 • 具体的なガイドライン – 任意のパラメータに攻撃コードを登録することで リスクが顕在化する – 入力フォームに登録された値が起因となって、リ スクが顕在化する – API の JSON 文字列の中に含まれる値を改ざんする ことで、リスクが顕在化する – 外部から読み込むメールに、一般的な攻撃パター ンが含まれている場合に、リスクが顕在化する
  72. 72. Reference 3 • CVE(Common Vulnerabilities and Exposure) – 個別の製品中の脆弱性を対象として、米国政 府の支援を受けた非営利団体の MITRE 社が採 番する識別子 – 一意の識別番号となる 「CVE 識別番号(CVE- ID)」が付与される – 日本では JPCERT/CC が CVE を割り当て • 脆弱性情報の公開調整時に、CVE 番号を連絡いた だき、弊社サイトから情報を公開時に掲載

×