<4D F736F F F696E74202D F90C68EE390AB837D836C CC8CF897A689BB82F08E B782E94B454E47494E4582CC8FD089E

Size: px

Start display at page:

Download "<4D F736F F F696E74202D F90C68EE390AB837D836C CC8CF897A689BB82F08E B782E94B454E47494E4582CC8FD089E"

いつやたておか
5 years ago
Views:

1 脆弱性マネジメントの効率化を支援する KENGINE の紹介 JPCERTコーディネーションセンターチーフシステムアーキテクト富樫一哉 2007 年 12 月 12 日

2 アジェンダ 1. VRDA のコンセプト VRDA: Vulnerability Response Decision Assistance 2. 脆弱性マネジメントの課題 3. KENGINE の概要 4. KENGINE の適用範囲機能期待効果 5. KENGINE の動作環境

3 はじめにどんなツール? 米 CERT/CC と JPCERT/CC が共同で開発した脆弱性マネジメントの新しいコンセプトである VRDA (Vulnerability Response Decision Assistance) を実装した Web アプリケーション一種のエキスパートシステム脆弱性対応業務における意思決定プロセスを主に支援誰のために作られた? 米 CERT/CC や JPCERT/CC をはじめとする脆弱性情報の調整機関 IT 資産を守るために脆弱性への対応業務を行う人たちゴールは? 組織毎に異なる事情を考慮した脅威分析に基づく適切な対策実施を支援組織として一貫性のある脆弱性への対応業務の実現とその効率化担当者の知識ノウハウを組織へトランスファ

4 脆弱性への対応業務における意思決定プロセスの一例脆弱性情報を入手対応 ( 対策アクション ) を検討対応が不要か? 脆弱性のアラートを公開すべきか? 考慮する点 ( 判断要素 ) 利用状況 (IT 資産の特性 ) 数は多くないが組織内で重要な用途で利用インパクト情報の改ざんと漏洩の可能性対策回避策の有無ベンダ公式パッチありその他様々な判断要素判断 ( ディシジョン ) 無視できない脆弱性である注意喚起を行いパッチ適用を促す特定の対策アクション対策アクションを実施するという判断は判断は関連性関連性の強い幾つかの判断要素判断要素を基に行われるまた脆弱性対応において適切な判断判断を行うためには組織個別の IT 資産の特性を把握した上で脅威分析を行う必要がある

5 VRDA による意思決定プロセスのモデル化アプローチ (1/2) Vulnerability Response Decision Assistance 意思決定プロセスに関係する要素を抽出し要素間の関係をモデル化モデル化に必要な3つのコンポーネントと組織固有の脅威を適切に把握するためのLAPT(Lightweight Affected Product Tag) タスク ( 対策アクション ) FACT( 判断要素 ) 意思決定モデル ( 対策アクションと判断要素の関連 ) LAPT(IT 資産の特性 )

6 VRDA による意思決定プロセスのモデル化アプローチ (2/2) VRDA 意思決定モデルはディシジョンツリーで表現されるディシジョンツリーは確認理解し易いこのディシジョンツリーは一つのタスク ( 対策アクション ) と FACT( 判断要素 ) の関連である LAPT(IT 資産の特性 ) は組織固有の FACT( 判断要素 ) を適切に且つ一貫性を持って認識する IT 資産キーワードと IT 資産に依存する FACT の関連である LAPT により脆弱性の対象となる IT 資産を特定するだけで幾つかの判断要素 (FACT) が明らかになる

7 注意喚起を行うという対策アクションの意思決定プロセスを VRDA のモデルで表現対策アクション : 注意喚起を行うべきか? FACT1: 影響を受けるシステムの数 FACT2: 影響を受けるシステムの重要度これらIT 資産の特性をLAPTで管理 FACT1 の値 FACT3: 脅威度 FACT2 の値 FACT3 の値 FACT4 の値 FACT4: 対策の有無ディシジョン : 注意喚起を行う意思決定プロセスをモデル化

8 脆弱性マネジメントにおける課題 1. 増え続ける脆弱性に対して迅速な対応が求められるが 8,000 件以上 (2006) 増加傾向(1Q, 2007 約 2,200 件 ) 全てを調べ優先順位付けするのも困難ニーズ : 脆弱性対応業務の効率化を支援する仕組み 2. 組織的に一貫した分析判断と適切な対策が求められるが個人の経験知識偏見に依存するところが大きい現実個人の経験や知識を共有することが困難ニーズ : 個人から組織へノウハウ移転共有実務へ反映 3. 脆弱性の脅威度を計るスコアリングシステムは存在するが一般化された脅威度の指標であり鵜呑みにはできない自組織にとっての脅威度を再度評価する必要有りニーズ : 組織別に異なる脅威度を適切に分析評価処置

9 KENGINE というソリューション評価基準 IT 資産情報対策アクション意思決定ロジック 2 ポリシを実業務運用に適用分析, 評価, 判断 1 思考ロジックをダンプ LAPT FACT 意思決定タスクモデル IT 資産ポリシポリシ文書 (HTML) 6 対応ポリシの文書化 5 意思決定モデル自動生成 / 最適化検索, ソート, 統計履歴分析結果 (XML) 3 脆弱性関連情報の蓄積一元管理 4 再利用

10 脆弱性対応業務における KENGINE の適用範囲と利用イメージ JPCERT/CC 情報収集分析脆弱性情報データフィードサービス ( 試行運用 ) JPCERT/CC 提供予定 FACT Vulnerability FACT 脅威度攻撃経路認証レベルユーザ関与の必要性 / 難易度攻撃の技術的難易度 World FACT インシデントの発生状況対策の有無情報ソースの信頼性分析情報の内容案件識別子案件タイトルリファレンス情報製品キーワード脆弱性分類分析内容 (FACT) 分析情報分析情報分析情報 1 情報入手 2 分析評価 KENGINE 利用者 IT 資産 KENGINE 利用者定義 FACT Constituency FACT 影響するシステムの数 (LAPT) 影響するシステムの重要度 (LAPT) その他ユーザ固有の判断基準手入力外部ソースからインポートポリシ履歴 4 対策実施 3 判断 Q&A 分析フォーム分析テンプレート LAPT/DFS 対策実施進捗管理 a. 統計 b. レビュー c. 作業管理 d. 再利用ディシジョンツリー履歴を検索参考

11 脆弱性対応業務の作業サイクルと KENGINE の提供機能の対応 1 情報入手 2 分析評価 3 判断 4 対策実施 a. 統計 b. レビュー c. 作業管理 d. 再利用 JPCERT/CC が提供する脆弱性情報データフィードサービスなど外部データソースからのインポート手入力も可能 Q&A 形式分析フォーム製品分析テンプレート (LAPT) 自由に定義可能な分析テンプレート (DFS) 脆弱性情報データフィードサービス利用ディシジョンツリーによる推論履歴検索参照対策アクション別進捗状況管理機能脆弱性の傾向対応作業状況やボリューム推論と判断の乖離率などの統計情報履歴検索参照ポリシ修正ポリシを文書として出力作業上の役割分担別の権限管理 XML 形式によるデータ入出力インタフェース

12 KENGINE 機能一覧 1. 脆弱性対応ポリシの管理とドキュメント生成分析項目 (FACT) と分析値 (FACT 値 ) の管理対策アクション ( タスク ) の管理意思決定モデル ( ディシジョンツリー ) の管理利用される用語 ( 分析項目や分析値の意味など ) の管理 2. 意思決定モデルの自動生成 ( 履歴データからのフィードバックにて学習 ) 3. 外部データソースからの脆弱性分析情報取り込み 4. Q&A 形式で定型化された分析フォーム ( 用語の定義情報も管理可能 ) 5. 分析支援テンプレート LAPT: 簡易的な製品別分析テンプレート DFS: 自由に定義可能な分析テンプレート 6. 様々な視点での検索 7. 担当者別の作業進捗管理 8. 各種統計グラフ 9. システム利用者の役割別アカウント管理 10. 他外部システムとの連携用 Webサービスインタフェース 11. ユーザインタフェースは日本語と英語をサポート

13 FACT( 分析項目 / 判断要素 ) 管理自由にディシジョンを行うための判断要素 ( 分析項目と分析値 ) を定義

14 意思決定モデル ( ディシジョンツリー ) 3 つの要素をマッピング 1. 分析項目 (FACT) 2. 分析値 (FACT 値 ) 3. 対策アクション ( タスク ) 実施の指針分析結果判断の履歴からディシジョンツリーを自動的に生成手動での作成編集判断ロジックをディシジョンツリー形式で管理

15 脆弱性対応ポリシドキュメント生成定義されたタスク FACT ディシジョンツリー LAPT 情報などの管理情報をまとめて HTML 形式で出力ポリシの履歴管理ポリシの共有ポリシの見直し

16 脆弱性情報データフィードサービス分析情報の検索一覧脆弱性の分析情報の一覧を検索取得 KENGINE へ取り込みが可能

17 脆弱性情報データフィードサービス特定脆弱性分析情報の表示分析内容が提供される

18 Q&A 形式で定型化された分析フォーム設問と回答選択肢を自由に定義可能分析フォームを定型化することに加えて用語の定義情報を分析時に参照可能とし担当者間での分析のブレを最小限に

19 LAPT: 簡易製品別分析テンプレート ( 簡易的な製品データベース ) Lightweight Affected Product Tag (LAPT) 組織固有の IT 資産の特性を示す項目製品キーワード別にデフォルトの分析値をアサインして共有

20 ベンダー情報の管理 LAPT 名で利用されるベンダ名を管理特定のベンダに紐付く LAPT( 製品情報 ) を一覧

21 DFS: ユーザ定義分析テンプレート一覧表示 Default Fact Set (DFS) DFS はユーザが自由に定義可能な分析テンプレートこの例では脆弱性の分類別に分析テンプレートを活用特定の分類に関連する脆弱性レポートを一覧可能

22 DFS: ユーザ定義分析テンプレート分析テンプレートの作成 Default Fact Set (DFS) ユーザが任意の分析項目に任意のデフォルト分析値をテンプレートとして定義可能

23 LAPT を利用して分析作業の効率化と一貫性確保自動的に展開

24 DFS を利用して分析作業の効率化と一貫性確保自動的に展開

25 様々な視点での検索影響を受けるシステムの重要度が高く Microsoft Windows に関するデータを検索検索条件として特定の FACT 値 ( 分析値 ) を指定蓄積された脆弱性情報をキーワード LAPT 名称 FACT 値など様々な条件で検索可能

26 各種統計グラフ進捗状況処理件数推論と判断のかい離製品別ベンダー別脆弱性種類別年別月別全体担当者別

27 システム利用者の役割別アカウント管理役割システム管理担当 LAPT 管理担当脆弱性情報登録担当脆弱性情報分析担当対応判断担当リソース管理担当ビューア作業内容全ての機能を利用可能でタスク FACT ディシジョンツリーなど脆弱性対応ポリシ全体を管理する LAPT 情報の登録保守を行う脆弱性情報の登録を行う登録された脆弱性情報の分析を行う分析結果を基に対応を決定する作業担当をアサインするデータの参照のみ可能

28 KENGINE の機能と期待効果のまとめ KENGINE 機能期待効果組織への知識トランスファ業務の一貫性確保業務の可視化 / 最適化業務の効率化ポリシ定義 / 適用ポリシ文書生成ツリー編集 / 生成脆弱性情報データフィードサービス Q&A 形式分析フォーム LAPT/ DFS 分析テンプレート履歴検索統計権限管理脅威への対策意思決定を支援ユーザ個別の事情を考慮した脅威分析

29 KENGINE の動作環境など KENGINE Web アプリケーション Ruby on Rails 1.2 を利用 PostgreSQL 8.1 を利用 Firefox 2.0 Internet Explore 7.0 など Apache Web Server など Debian Linux など脆弱性情報データフィードサービス Web サービスインタフェース (REST) KENGINE は同 Web サービスのクライアントとして機能データ交換フォーマットは VULDEF をベース

30 おわりに目的は脆弱性マネジメントの効率化ユーザ視点での脅威分析にフォーカスした VRDA/KENGINE の新しいアプローチコンセプトの有効性の実証ソフトウェアとサービスのチューニング JPCERT/CC としても新しい取り組み新たな活動を推進する体制を整備 KENGINE についての問い合わせご意見は

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Android アプリの脆弱性体験学習ツール AnCoLe( アンコール ) の紹介 ~ AnCoLe で攻撃対策の体験を ~ Android アプリに関する届出状況毎年 Android アプリの脆弱性の届出が報告件数 300 250 200