脆弱性情報はこうしてやってくる

脆弱性情報はこうして
やってくる
JPCERT/CC 情報流通対策グループ
⼾⽥洋三
2016.09.26
Vuls 祭り#1

Copyright ©2016 JPCERT/CC All rights reserved.
自己紹介
http://www.tomo.gr.jp/root/e9706.html
JPCERT/CC
情報流通対策グループ
リードアナリスト戸田洋三
脆弱性情報分析, セキュアコー
ディング普及啓発活動……
に努めてます
1

JPCERT/CCとは
JPCERT Coordination Center
日本における情報セキュリティ
対策活動の向上に取り組んでい
る組織
2

JPCERT/CCの主な活動
3

お話の内容
4
https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png

お話の内容
5
ここができるまでの
あれこれを紹介します。
https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png

JVN とは?
6
JVN JVN.JP
Japan Vulnerability Notes
脆弱性関連情報とその対策情報を提供し、情報セキュリティ対
策に資することを目的とする脆弱性対策情報ポータルサイトで
す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ
キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ
りJPCERT コーディネーションセンターと独立行政法人情報処
理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html

あなたの知っている JVN はどっち?
7
https://jvn.jp/
http://jvndb.jvn.jp/

あなたの知っている JVN はどっち?
8
https://jvn.jp/
http://jvndb.jvn.jp/
Vuls が参照してい
るのは JVN iPedia.

JVN iPedia とは?
9
JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国
内外問わず公開された脆弱性対策情報を広く公開対象とし、
データベースとして蓄積しています。
一方、JVNでは、…早期警戒パートナーシップで取扱われた脆
弱性関連情報や、協力関係を結んでいる海外のCERT等から
の脆弱性対策情報を掲載しています。
http://jvndb.jvn.jp/nav/jvndb.html
脆弱性対策情報が公表されてから一週間程度を目安に公開し
ています。
JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国
NISTが運営するNVDおよび国内ベンダから情報収集していま
す。

つまり、こーいうこと: JVNとiPediaの役割分担
10
JVNiPedia
JVN ベンダとの調整の結果、公
開に⾄った脆弱性情報を迅
速に掲載。
基本的には JVN と NVD の
データをもとに構成。
データの蓄積と検索機能を
重視。

つまり、こーいうこと: 情報の流れ
11
CVE(MITRE)
JVNiPedia
JVN
NVD(NIST)
………………

⽇本国内の情報流通体制 (その1)
12
•経済産業省告⽰
•情報セキュリティ早期警戒パートナー
シップ

13
•経済産業省告⽰
http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html
ソフトウエア等脆弱性関連情報取扱基準
(2004年7⽉制定)
http://www.meti.go.jp/policy/netsecurity/vulinfo.html

受付機関と調整機関
14
受付機関: IPA
IPA セキュリティセンター
調整機関: JPCERT/CC
JPCERT/CC 情報流通対策グループ

15
•情報セキュリティ早期警戒パートナー
シップ
IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ),
JNSA が連名で「情報セキュリティ早期警戒
パートナーシップガイドライン」を公表
(2004年7⽉)
参考: https://www.jpcert.or.jp/press/2004/0708.txt

届出⇒調整⇒公開
16
https://www.jpcert.or.jp/vh/fig1.gif

CVE 管理の仕組み
18
CVE: Common Vulnerabilities and Exposures
⽶国 MITRE が管理運営
割り当ては CNA(CVE Numbering Authority) から
MITRE 以外にソフトウェア開発ベンダや
CSIRT(CERT/CC, JPCERT/CC) などが CNA と
して割り当てを⾏っている
参考: https://cve.mitre.org/cve/cna.html#participating_cnas

参考: oss-security メーリングリスト
19
オープンソース製品に対する CVE 割り当てリクエストと
応答の様⼦が垣間⾒られる
http://www.openwall.com/lists/oss-security/2016/09/

おさらい
20
脆弱性発⾒!
届出
調整
公開
Vulsで活⽤!

参考情報 (最近の情報)
Japan Vulnerability Notes (https://jvn.jp/)
JVN iPedia (http://jvndb.jvn.jp/)
脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/)
脆弱性対策 (https://www.ipa.go.jp/security/vuln/)
Lessons Learned from Handling OpenSSL Vulnerabilities
(OSC2014Fukuoka での講演)
(http://www.slideshare.net/jpcert_securecoding/lessons-
to-be-learned-from-handling-openssl-vulnerabilities)
経済産業省告⽰の改正
(http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik
okuji.pdf)
CVE: Common Vulnerabilities and Exposures
(https://cve.mitre.org/)
21

参考情報 (過去の経緯を知るための情報)
脆弱性関連情報取り扱い説明会
(http://www.ipa.go.jp/security/vuln/event/20040720.html)
JPCERT/CC プレスリリース: 「情報セキュリティ早期警
戒パートナーシップ」の運⽤を開始
(https://www.jpcert.or.jp/press/2004/0708.txt)
経済産業省告⽰(2004年7⽉7⽇)
(http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf)
JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク
ショップ (2004-03-09) (https://www.jpcert.or.jp/present/)
22

お問合せ等の連絡先はこちら
23
JPCERTコーディネーションセンター
(https://www.jpcert.or.jp)
情報流通対策グループ
(vultures@jpcert.or.jp)
JVN: Japan Vulnerability Notes
(https://jvn.jp/)
お問い合わせ先とFAQ
(https://jvn.jp/contact/)

脆弱性情報はこうしてやってくる

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie 脆弱性情報はこうしてやってくる

Ähnlich wie 脆弱性情報はこうしてやってくる (20)

Mehr von JPCERT Coordination Center

Mehr von JPCERT Coordination Center (20)

脆弱性情報はこうしてやってくる