[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション（4） by 板橋博之

1. 情報セキュリティ早期警戒パートナーシップのご紹介 2022 年 10 月 28 日独立行政法人情報処理推進機構セキュリティセンターセキュリティ対策推進部脆弱性対策グループ板橋博之

2. 2 「情報セキュリティパートナーシップ」とは経済産業省告示「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」により規定されてており、目的は以下の通り。目的：本規程は、サイバーセキュリティの確保のため、ソフトウエア製品等の脆弱性関連情報を取り扱う者に推奨する行為を定めることにより、コンピュータウイルス、コンピュータ不正アクセス等によって不特定又は多数の者に対して引き起こされる被害を予防し、これらへの対策を講じ、もって情報の適切な流通の促進を図り、経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現に資することを目的とする。情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－制度について①－

3. 3 「情報セキュリティパートナーシップガイドラン」とは ■制度の成り立ち「情報セキュリティ早期警戒パートナーシップガイドライン」は、前記の告示をふまえ、脆弱性関連情報(*) の適切な流通を実現するために、関係者に推奨する行為をとりまとめたものです。具体的には、独立行政法人情報処理推進機構が受付機関、一般社団法人JPCERTコーディネーションセンターが調整機関という役割を担い、脆弱性関連情報の発見者、ソフトウエアの製品開発者、ウェブサイト運営者と協力をしながら、脆弱性に対処するプロセスを記述しています。 (*)脆弱性に関する情報であり、脆弱性情報（脆弱性の性質、特徴）、検証方法、攻撃方法のいずれかに該当する情報を指します。 ■適用範囲本ガイドラインの適用範囲は、脆弱性により不特定多数の人々に被害を及ぼすもの、具体的には、国内で利用されているソフトウエア製品や、主に日本国内からのアクセスが想定されるサイトで稼動するウェブアプリケーション（例えば、主に日本語で記述されたウェブサイトや、URLが「jp」ドメインのウェブサイト等）が対象となります。情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－制度について②－

4. 4 「情報セキュリティパートナーシップガイドライン」の関係者、メリットは以下の通り。関係者情報セキュリティ早期警戒パートナーシップのメリット発見者 • 公的機関を介して製品開発者やウェブサイト運営者に脆弱性対応を促すことができる • 製品脆弱性の発見者は、脆弱性対策情報の公表時に名前を掲載することができる製品開発者 • 自社製品に影響する未公表の脆弱性を知ることができる • 脆弱性の対策方法を利用者に広く周知することができる • 脆弱性問題に真摯に取り組む姿勢を示すことができるウェブサイト運営者 • 脆弱性の存在が広く知れ渡る前に、修正することができる • 自分では気づかなかった脆弱性を確認し修正することができる • 自分のウェブサイトの利用者の安全性向上につながる情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－制度について③－

5. 脆弱性対策情報ポータルセキュリティ対策推進協議会等公表日の決定、海外の調整機関との連携等ソフトウェア製品の脆弱性ウェブアプリケーションの脆弱性発見者脆弱性関連情報届出脆弱性関連情報通知対応状況の集約、公表日の調整等個人情報漏えい時は事実関係を公表対策状況等公表ユーザ個人企業政府情報セキュリティ早期警戒パートナーシップ ※JPCERT/CC：一般社団法人 JPCERT コーディネーションセンター、産総研：国立研究開発法人産業技術総合研究所ウェブサイト運営者検証、対策実施ソフトウェア製品開発者検証、対策実施システム導入支援者受付・分析機関分析支援機関産総研など報告された脆弱性関連情報の内容確認・検証脆弱性関連情報届出脆弱性関連情報通知調整機関 ※IPA：独立行政法人情報処理推進機構、JPCERT/CC：一般社団法人 JPCERTコーディネーションセンター、産総研：国立研究開発法人産業技術総合研究所ソフトウエア製品やウェブアプリケーション等において、コンピュータ不正アクセスやコンピュータウイルス等の攻撃により、その機能や性能を損なう原因となり得るセキュリティ上の問題箇所脆弱性 5 「情報セキュリティパートナーシップ」の体制について情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用体制等－

6. 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用状況①－ 6 ■日本語版：https://www.ipa.go.jp/security/vuln/report/vuln2022q2.html ■英語版：https://www.ipa.go.jp/files/000100344.pdf 33 112 288 197 231 154 128 141 185 271 209 442 1,045 462 326 232 244 309 140 294 315 374 2,391 1,446 379 691 671 884 1,118 413 370 142 238 905 754 605 173 579 1,182 1,753 4,375 5,9756,4827,314 8,170 9,325 10,652 11,507 12,922 13,526 14,090 15,227 16,225 17,139 0件 2,000件 4,000件 6,000件 8,000件 10,000件 12,000件 14,000件 16,000件 18,000件 0件 500件 1,000件 1,500件 2,000件 2,500件 3,000件 200420052006200720082009201020112012201320142015201620172018201920202021 ソフトウェア製品ウェブサイト累計年間届出件数累計届出件数「情報セキュリティパートナーシップ」の運用状況（届出受付件数：2021年12月末）について

7. 7 2022年第2四半期脆弱性届出件数脆弱性の届出件数の四半期ごとの推移分類本四半期件数累計ソフトウェア製品 75件 5,157件ウェブサイト 88件 12,308件合計 163件 17,465件ソフトウェア製品の脆弱性対策情報の公表件数 2022年第2四半期修正完了（JVN公表）件数分類本四半期件数累計ソフトウェア製品 27件 2,417件ウェブサイト 29件 8,290件合計 56件 10,707件 16 17 30 19 22 20 35 32 27 22 25 24 22 30 30 73 75 69 75 85 73 92 58 97 1,732 1,749 1,779 1,798 1,820 1,840 1,875 1,907 1,934 1,956 1,981 2,005 1,711 1,741 1,771 1,844 1,919 1,988 2,063 2,148 2,221 2,313 2,371 2,468 0件 200件 400件 600件 800件 1,000件 1,200件 1,400件 1,600件 1,800件 2,000件 2,200件 2,400件 2,600件 0件 20件 40件 60件 80件 100件 120件 140件 3Q 2019 4Q 1Q 2020 2Q 3Q 4Q 1Q 2021 2Q 3Q 4Q 1Q 2022 2Q 国内外の発見者からの届出海外のCSIRTからの連絡国内外の発見者からの届出(累計) 海外のCSIRTからの連絡（累計）四半期件数累計件数情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用状況②－ 61 67 61 52 58 73 71 80 93 63 75 75 284 105 200 136 188 230 180 223 109 85 98 88 4,389 4,456 4,517 4,569 4,627 4,700 4,771 4,851 4,944 5,007 5,082 5,157 10,666 10,771 10,971 11,107 11,295 11,525 11,705 11,928 12,037 12,122 12,220 12,308 0件 2,000件 4,000件 6,000件 8,000件 10,000件 12,000件 14,000件 0件 100件 200件 300件 400件 500件 600件 700件 800件 3Q 2019 4Q 1Q 2020 2Q 3Q 4Q 1Q 2021 2Q 3Q 4Q 1Q 2022 2Q 累計件数四半期件数ソフトウェア製品ウェブサイトソフトウェア製品（累計）ウェブサイト（累計）直近の3年間について、ソフトウェアの届出件数は大きな変動はないが、ウェブサイトについては、2021年以降減少傾向に転じている。

8. 8 ウェブサイトの届出取扱い状況ソフトウエア製品の届出取扱い状況 8,290 1,130 710 1,662 2022年 6月末修正完了注意喚起脆弱性でない不受理 251 取扱不能 207 合計 12,308件全届出に対し、86% が終了取扱い中終了件数 10,646 件(86%) 2,417 40 107 506 2,087 2022年 6月末全届出に対し、60% が終了公表済み不受理取扱い中（※）合計 5,157件脆弱性でない（※）このうち、連絡不能製品開発者 191件個別対応（JVN公表を行わず、製品開発者が個別対応したもの）終了件数 3,070 件(60%) 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用状況③－状況：全届出に対して40％が現在も取扱いを継続している状況。状況：全届出に対して終了した件数が、 86％という状況であるあり、ソフトウェア製品と比較をすると、終了する割合が高い状況である。

9. 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用状況④－ 9  届出製品の種類 - 「ウェブアプリケーション」、「ルータ」の届出で過半数。 - 「スマートフォン向けアプリ」の届出も増加している。  届出製品に対する影響 - 「任意のスクリプトの実行」、「任意のコマンドの実行」、「情報の漏えい」の届出で過半数。ソフトウエア製品影響別届出件数ソフトウエア製品製品種類別届出件数 35% 12% 10% 8% 8% 5% 4% 4% 3% 11% 任意のスクリプトの実行任意のコマンドの実行情報の漏洩なりすまし任意のコードの実行アクセス制限の回避サービス不能任意のファイルへのアクセスデータベースの不正操作その他 43% 9% 8% 5% 4% 4% 3% 2% 2% 2% 18% ウェブアプリケーションソフトルータスマートフォン向けアプリグループウェアアプリケーション開発・実行環境情報家電ウェブブラウザファイル管理ソフトシステム管理ソフト OS その他

10. 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用状況⑤－ 10  届出製品の種類 - 「クロスサイト・スクリプティング」の届出で過半数。 - 「DNS情報の設定不備」、「SQLインジェクション」の届出で８０％。  届出製品に対する影響 - 「本物サイト上への偽情報の表示」の届出で過半数ウェブサイト影響別届出件数ウェブサイト脆弱性の種類別届出件数 58% 11% 11% 4% 2% 2% 12% クロスサイト・スクリプティング DNS情報の設定不備 SQLインジェクションファイルの誤った公開ディレクトリ・トラバーサル HTTPSの不適切な利用その他 57% 12% 11% 4% 4% 3% 2% 7% 本物サイト上への偽情報の表示データの改ざん、消去ドメイン情報の挿入サーバ内ファイルの漏洩個人情報の漏洩なりすまし Cookie情報の漏洩その他

11. 11 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用における課題①－ソフトウエア製品の届出  開発者の脆弱性対応に時間が掛かる届出されるソフトウェア製品の種類範囲が広がり（スマートフォンアプリ、制御系ソフトウェア等）、脆弱性情報を製品開発者に連絡をしても、製品開発者側で脆弱性情報の調査（対象製品の種類が多い等）、対策をするのに時間が掛かるケースがある  開発者と調整途中で連絡が取れなくなる届出されるソフトウェア製品の種類も多岐に渡るため、個人の製品開発者が作成したソフトウェア製品等の届出もあり、脆弱性情報を製品開発者に届出をしても、調整途中で製品開発者との連絡が途絶えるケースがある  脆弱性対策情報の公表に否定的脆弱性情報の公表＝ソフトウェア製品の脆弱性が多い（品質が良くない）と、製品利用者から認識されるため、脆弱性情報の公表を積極的にするという風潮が醸成されていない状況である

12. 12 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用における課題②－ウェブサイトの届出  ウェブサイト運営者との連絡に時間が掛かる届出されるウェブサイトに関して、脆弱性情報を連絡する際に、ウェブサイト運営者の連絡先を調査するが、ウェブサイト上に連絡先（セキュリティ関連の連絡先）等が明示されていないため、連絡先の調査及び、適切な連絡先に連絡をするのに時間が掛かる  脆弱性対応に時間が掛かる届出されるウェブサイトの実質的な運営者の組織も多岐に渡り（大企業から個人等）、脆弱性情報をウェブサイト運営者に連絡をしても、ウェブサイト運営者側で脆弱性情報の調査（対策要員不足等）、対策をするのに時間が掛かるケースがある

13. 13 情報セキュリティ早期警戒パートナーシップ（脆弱性届出制度）－運用における課題への対策－ソフトウエア製品の届出  脆弱性対策に前向きな製品開発者を評価届出されるソフトウェア製品の脆弱性について、積極的に脆弱性対策および、脆弱性対策情報を公表した製品開発者を評価する仕組について、本制度においても検討をする予定  ソフトウェア開発者への脆弱対策の必要性についての普及ソフトウェア開発者への脆弱性対策の必要性について、関係団体へも協力を頂いて普及啓発資料の展開を継続して実施するウェブサイトの届出  ウェブサイトの脆弱性情報等の連絡先の明示の普及ウェブサイト運営者向けに、「セキュリティ問い合わせ窓口設置」を公開しているが、今後も引き続き普及・啓発を継続して実施する  ウェブサイト運営者への脆弱対策の必要性についての普及ウェブサイト運営者へ脆弱性対策の必要性についての普及啓発活動をして、普及啓発資料、動画配信等を継続して実施する

[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション（4） by 板橋博之

Esté a ler uma amostra.

Confira estes a seguir

[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション（4） by 板橋博之

Mais Conteúdo rRelacionado

Semelhante a [cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション（4） by 板橋博之 (20)

Mais de CODE BLUE (20)

Mais recentes (20)