Mais conteúdo relacionado
Semelhante a 脆弱性情報はこうしてやってくる (20)
Mais de JPCERT Coordination Center (20)
脆弱性情報はこうしてやってくる
- 2. Copyright ©2016 JPCERT/CC All rights reserved.
自己紹介
http://www.tomo.gr.jp/root/e9706.html
JPCERT/CC
情報流通対策グループ
リードアナリスト 戸田 洋三
脆弱性情報分析, セキュアコー
ディング普及啓発活動……
に努めてます
1
- 5. Copyright ©2016 JPCERT/CC All rights reserved.
お話の内容
4
https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
- 6. Copyright ©2016 JPCERT/CC All rights reserved.
お話の内容
5
ここができるまでの
あれこれを紹介します。
https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
- 7. Copyright ©2016 JPCERT/CC All rights reserved.
JVN とは?
6
JVN JVN.JP
Japan Vulnerability Notes
脆弱性関連情報とその対策情報を提供し、情報セキュリティ対
策に資することを目的とする脆弱性対策情報ポータルサイトで
す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ
キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ
りJPCERT コーディネーションセンターと独立行政法人情報処
理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
- 9. Copyright ©2016 JPCERT/CC All rights reserved.
あなたの知っている JVN はどっち?
8
https://jvn.jp/
http://jvndb.jvn.jp/
Vuls が参照してい
るのは JVN iPedia.
- 10. Copyright ©2016 JPCERT/CC All rights reserved.
JVN iPedia とは?
9
JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国
内外問わず公開された脆弱性対策情報を広く公開対象とし、
データベースとして蓄積しています。
一方、JVNでは、…早期警戒パートナーシップで取扱われた脆
弱性関連情報や、協力関係を結んでいる海外のCERT等から
の脆弱性対策情報を掲載しています。
http://jvndb.jvn.jp/nav/jvndb.html
脆弱性対策情報が公表されてから一週間程度を目安に公開し
ています。
JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国
NISTが運営するNVDおよび国内ベンダから情報収集していま
す。
- 11. Copyright ©2016 JPCERT/CC All rights reserved.
つまり、こーいうこと: JVNとiPediaの役割分担
10
JVNiPedia
JVN ベンダとの調整の結果、公
開に⾄った脆弱性情報を迅
速に掲載。
基本的には JVN と NVD の
データをもとに構成。
データの蓄積と検索機能を
重視。
- 14. Copyright ©2016 JPCERT/CC All rights reserved.
⽇本国内の情報流通体制 (その1)
13
•経済産業省告⽰
http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html
ソフトウエア等脆弱性関連情報取扱基準
(2004年7⽉制定)
http://www.meti.go.jp/policy/netsecurity/vulinfo.html
- 15. Copyright ©2016 JPCERT/CC All rights reserved.
受付機関と調整機関
14
受付機関: IPA
IPA セキュリティセンター
調整機関: JPCERT/CC
JPCERT/CC 情報流通対策グループ
- 16. Copyright ©2016 JPCERT/CC All rights reserved.
⽇本国内の情報流通体制 (その2)
15
•情報セキュリティ早期警戒パートナー
シップ
IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ),
JNSA が連名で「情報セキュリティ早期警戒
パートナーシップガイドライン」を公表
(2004年7⽉)
参考: https://www.jpcert.or.jp/press/2004/0708.txt
- 19. Copyright ©2016 JPCERT/CC All rights reserved.
CVE 管理の仕組み
18
CVE: Common Vulnerabilities and Exposures
⽶国 MITRE が管理運営
割り当ては CNA(CVE Numbering Authority) から
MITRE 以外にソフトウェア開発ベンダや
CSIRT(CERT/CC, JPCERT/CC) などが CNA と
して割り当てを⾏っている
参考: https://cve.mitre.org/cve/cna.html#participating_cnas
- 20. Copyright ©2016 JPCERT/CC All rights reserved.
参考: oss-security メーリングリスト
19
オープンソース製品に対する CVE 割り当てリクエストと
応答の様⼦が垣間⾒られる
http://www.openwall.com/lists/oss-security/2016/09/
- 22. Copyright ©2016 JPCERT/CC All rights reserved.
参考情報 (最近の情報)
Japan Vulnerability Notes (https://jvn.jp/)
JVN iPedia (http://jvndb.jvn.jp/)
脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/)
脆弱性対策 (https://www.ipa.go.jp/security/vuln/)
Lessons Learned from Handling OpenSSL Vulnerabilities
(OSC2014Fukuoka での講演)
(http://www.slideshare.net/jpcert_securecoding/lessons-
to-be-learned-from-handling-openssl-vulnerabilities)
経済産業省告⽰の改正
(http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik
okuji.pdf)
CVE: Common Vulnerabilities and Exposures
(https://cve.mitre.org/)
21
- 23. Copyright ©2016 JPCERT/CC All rights reserved.
参考情報 (過去の経緯を知るための情報)
脆弱性関連情報取り扱い説明会
(http://www.ipa.go.jp/security/vuln/event/20040720.html)
JPCERT/CC プレスリリース: 「情報セキュリティ早期警
戒パートナーシップ」の運⽤を開始
(https://www.jpcert.or.jp/press/2004/0708.txt)
経済産業省告⽰(2004年7⽉7⽇)
(http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf)
JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク
ショップ (2004-03-09) (https://www.jpcert.or.jp/present/)
22
- 24. Copyright ©2016 JPCERT/CC All rights reserved.
お問合せ等の連絡先はこちら
23
JPCERTコーディネーションセンター
(https://www.jpcert.or.jp)
情報流通対策グループ
(vultures@jpcert.or.jp)
JVN: Japan Vulnerability Notes
(https://jvn.jp/)
お問い合わせ先とFAQ
(https://jvn.jp/contact/)