脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋紀子

Similar documents
JPCERT/CC 脆弱性関連情報取扱いガイドライン ver6.0

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

講義内容 1. 組込み機器のセキュリティの脅威について 2. 脆弱性関連情報の収集について 3.IPA が提供する脆弱性対策関連のサービス Copyright 2015 独立行政法人情報処理推進機構 2

目次 はじめに IoT に対するセキュリティからの熱い視線 IoT とサイバー攻撃 まとめ 1

JPCERTコーディネーションセンター製品開発者リスト登録規約

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

TCG JRF 第四回公開ワークショップ JPCERT コーディネーションセンター理事 分析センター長真鍋敬士 2012 年 11 月 28 日

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

組織内CSIRTの役割とその範囲

セキュリティ担当者のための脆弱性対応ガイド 第3版第2刷

目次 はじめに IoT 関連のセキュリティ事例セキュリティに関する対応を行う上での課題 IoTセキュリティ評価のためのチェックリストについてまとめ 2

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

1 目次 1. 全体の仮説 2 2. 国際標準と情報セキュリティ早期警戒パートナーシップ 9 3. ソフトウェア製品開発者における国際的な脆弱性情報の取扱い グローバルなウェブサイトにおける脆弱性対応 情報セキュリティ早期警戒パートナーシップのグローバル化対応に向けて 73

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2019 年 7 月 1 日から 2019 年 9 月 30 日まで

スライド 0

ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]

<4D F736F F F696E74202D F90C68EE390AB837D836C CC8CF897A689BB82F08E B782E94B454E47494E4582CC8FD089E

Zone Poisoning


制御システムセキュリティアセスメントサービス

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

PowerPoint プレゼンテーション

5. オープンソースWAF「ModSecurity」導入事例 ~ IPA はこう考えた ~

Microsoft Word - hozon-fujimura-HP-伊勢工業高校における造船教育の歴史から学ぶ

ソフトウエアの脆弱性データベースとSAMAC辞書

説明の流れ はじめに JPCERT/CC の紹介 2017 年に観測された IoT 関連のインシデント 2017 年に報告された IoT 関連の脆弱性 IoT でセキュリティに取り組む上での課題 まとめ 2

本日お話ししたいこと 3) 攻撃事例に見る情報連携の役割と取り組みの紹介 講演者 : 真鍋敬士 (JPCERT コーディネーションセンター ) 17:10-18:00 内容 : 標的型攻撃による被害というのは 攻撃の対象や進行度によって異なり なかなかはっきりしないものです しかし 人や組織を孤立

Contents. 概要 ぜいじゃくせい 1. 脆弱性とは 脆弱性という言葉の意味などを説明しています 2. IPA における脆弱性対策に関する取組みについて IPA で取組んでいる脆弱性対策を コンテンツの性質をもとに大きく 4 種に分け それぞれを説明しています 推奨コンテンツのご紹介 3. 開

つるい27-5月号PDF.indd

kiri_17.pdf

Microsoft PowerPoint - APC pptx

HIGIS 3/プレゼンテーション資料/J_GrayA.ppt

ソフトウエア等の脆弱性関連情報に関する届出状況[2017年第1四半期(1月~3月)]

日本企業のCSIRT実例紹介

SOC Report

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

JPCERT/CC 活動概要 [ 2018 年10月1 日 ~ 2018年12月31 日 ]

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

Lessons (to be) Learned from Handling OpenSSL Vulnerabilities

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

Microsoft PowerPoint - インターネットセキュリティ動向 Web

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2019 年 4 月 1 日から 2019 年 6 月 30 日まで

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2019 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2019 年 1 月 1 日から 2019 年 3 月 31 日まで

外部からの脅威に対し ファジング の導入を! ~ さらなる脆弱性発見のためのセキュリティテスト ~ 2017 年 5 月 10 日独立行政法人情報処理推進機構技術本部セキュリティセンター小林桂 1

Microsoft PowerPoint - IncidentResponce

SOC Report

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 4 月 1 日から2013 年 6 月 30 日までの

<4D F736F F F696E74202D20496F54835A834C A B CC8A F8CF6955C94C A2E >

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2014 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2014 年 10 月 1 日から 2014 年 12 月 31

JPCERT/CC 活動概要[2011年1月1日~2011年3月31日]

Microsoft Word - 活動概要4-6.doc

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2018 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2018 年 7 月 1 日から 2018 年 9 月 30 日まで

JPCERTCC.ppt

制御システムに関する最近の脅威と JPCERT/CC の取り組み 2018年03月10日 JPCERTコーディネーションセンター 制御システムセキュリティ対策グループ 阿部 真吾

SHODANを悪用した攻撃に備えて-制御システム編-

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2016 年第 1 四半期 (1 月 ~3 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2016 年 1 月 1 日から 2016 年 3 月 31 日まで

JPCERT/CC 活動概要 [ 2015 年7 月1 日 ~ 2015 年9 月30 日 ]

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2016 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2016 年 7 月 1 日から 2016 年 9 月 30 日まで


表紙-表4

1 2

2014年HIRT活動報告

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 3 四半期 (7 月 ~9 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 7 月 1 日から2013 年 9 月 30 日までの

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

これだけは知ってほしいVoIPセキュリティの基礎

インシデントハンドリング業務報告書

— 製品保守ポリシーとアップデート・パッチの考え方    

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 4 四半期 (10 月 ~12 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 10 月 1 日から 2013 年 12 月 31

組織内CSIRT構築の実作業

セキュリティ委員会活動報告

ログを活用したActive Directoryに対する攻撃の検知と対策

CWEを用いた脆弱性分類の検討

内容 JPCERT/CCとは 組織の概要 自己紹介世界の大学は今日本の大学 外部からの脅威 内なる脅威大学生とSNS 高まるソーシャルエンジニアリングのリスクインシデントレスポンス時代に即したセキュリティ教育まとめ Page 2

Microsoft PowerPoint - 【セット】IPA.pptx

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

セキュリティ侵害のリスクの現状・動向

最新のサイバーセキュリティの脅威

2007年HIRT活動報告

2

Copyright

Open SSL 脆弱性問題の 各製品への影響に関して (JVNVU# ) ~ heartbeat 拡張情報漏えいの脆弱性 ~ 4.0 版 日本電気株式会社企業ネットワーク事業部 ~JPCERT コーディネーションセンター (JPCERT/CC) の掲載情報より引

untitled

脆弱性関連情報に関する届出状況[2007年第4四半期(10月~12月)]

キャッシュポイズニング攻撃対策

JPCERT/CC活動概要[2009年7月1日~9月30日]

TITLE SLIDE

別紙 年第 3 四半期脆弱性対策情報データベース JVN ipedia の登録状況 ( 詳細 ) 1. 脆弱性対策情報の登録状況 年第 3 四半期に登録した脆弱性の種類別件数図 8 のグラフは JVN ipedia へ 2012 年第 3 四半期に登録した脆弱性対策情

ACTIVEプロジェクトの取り組み

講演者自己紹介 中野学 ( なかのまなぶ ) 所属 : 製品セキュリティセンター製品セキュリティグローバル戦略室 略歴 : 2006 年横浜国立大学博士課程修了 ( 情報学博士 ) 2006 年 ~2016 年 : ( 独 ) 情報処理推進機構においてセキュリティ調査 普及啓発活動に従事 担当は家電

脆弱性対策データベースとその自動化基盤 ~JVN, JVN iPedia and MyJVN~

08_眞鍋.indd

市場調査における有害事象報告の実態について

Attack Object Update

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

最近 話題になったセキュリティ上の出来事は? ストレージメディアを介した感染 リムーバブルメディア (USB メモリ, デジタルカメラ ) ネットワークドライブマルウエア添付メール 標的型攻撃で使われている手法 時事ネタ ( 新型インフルエンザ等 ) への便乗改ざんされた Web サイトから悪意のあ

本日のメニュー 1. 弊社紹介 2. セキュリティチェックシートについて 3. GigaCCで出来る事 4. まとめ -2-

Microsoft PowerPoint _revised.ppt

Transcription:

脆弱性届出制度における 調整活動 JPCERTコーディネーションセンター脆弱性コーディネーショングループリーダー高橋紀子

JPCERT/CC の活動 JPCERT/CC のさまざまな活動は 予防から事後対応に至る過程で必要となる具体的な対応に直結 先進の分析と培われたコーディネーション活動で 企業や組織のサイバーセキュリティ対策活動を支えます 1

脆弱性コーディネーショングループの活動 インシデントの発生 ( ゼロデイ攻撃 ) や拡散を防止するための活動 ( 未然に防止 ) 1 脆弱性ハンドリング 脆弱性情報の適切な流通を図るための関係者間調整 脆弱性情報の公表 2 セキュアコーディング 脆弱性の低減方策の調査研究 開発 普及啓発 3 潜在する脆弱性の脅威に関する調査 研究 標準化動向調査 脆弱性の開示 (ISO/IEC 29147) 脆弱性取扱い (ISO/IEC 30111) インシデント管理 (ISO/IEC 29147) 2

1 脆弱性ハンドリング 具体的には IPA との調整 ( 国際展開案件の場合は海外 CERT) 製品開発者からの報告内容共有 IPA からは発見者からの報告内容共有 JVN アドバイザリ内容 JVN 公表日時など 製品開発者 ( ベンダ ) との調整 届出情報展開 ( 海外ベンダの場合は翻訳 ) 検証結果報告 ベンダ見解や対応方針 ( 異議の際は関係者間の協議 交渉等 ) JVN アドバイザリ内容 JVN 公表日時 ベンダサイトでの公表日時 脆弱性発見者 ( 届出者 ) との調整 JPCERT/CC に直接届出られた場合は あらゆる調整を行う JVN 公表 JVN 日本語版 英語版の作成 公表 CVE 採番と CVE Description 作成 発行 英文にて所定のルールに従い記載し発行 3

役割 JPCERT/CC 脆弱性コーディネーショングループ 2004 年から活動 国内外の 主に製品開発者 ( ベンダ ) と脆弱性に関わる調整を行う窓口としての機能を担う 国内研究者 国内ベンダ JPCERT/CC 海外研究者 海外ベンダ 海外の National CERT 等 4

JPCERT/CC の脆弱性ハンドリング全体像 5

国内における脆弱性ハンドリング全体像 ソフトウエア製品等の脆弱性関連情報に関する取扱規程 ( 平成 29 年経済産業省告示第 19 号 ) 情報セキュリティ早期警戒パートナーシップガイドラインより抜粋 JPCERT/CC は調整機関として指定 6

届出制度における発見者とベンダ間の調整 7

日本の届出制度でのメリット : 発見者側 製品開発者 ( ベンダ ) と直接やりとりをしなくてよい 匿名での届出も可能 海外ベンダの場合 JPCERT/CC が届出を翻訳して送付 ベンダに連絡がつくまで自ら連絡先を探さずにすむ 脆弱性発見に注力ができる ベンダとの交渉 調整はすべてお任せ JVN に自分の名前 ( 謝辞 ) が載る CNA である JPCERT/CC により 各脆弱性に対し CVE が採番 登録される CNA(CVE Numbering Authorities) https://cve.mitre.org/cve/cna.html CVE Numbering Authorities (CNAs) are organizations from around the world that are authorized to assign CVE IDs to vulnerabilities affecting products within their distinct, agreed-upon scope, for inclusion in first-time public announcements of new vulnerabilities. These CVE IDs are provided to researchers, vulnerability disclosers, and information technology vendors. 8

日本の届出制度でのメリット : ベンダ側 製品に関係する脆弱性情報を早期に入手し 計画的に対応できる 他社製品 ( サードパーティ製ライブラリ等 ) の脆弱性情報も 条件があえば必要に応じて入手できる 脆弱性の公表と同時に対策情報を公開し ユーザへの影響を低減できる 中立な第三者機関 (JPERT/CC) がクッションになる 情報の適切なフィルタリング 検証等 海外の発見者や CERT 等と直接英語で交渉 調整しなくてよい 適切な脆弱性情報の管理と提供 (OEM 元や部品ベンダ等 ) 脆弱性およびその対策の情報を告知する媒体として JVN を利用でき CVE も採番 登録される JVN 掲載により各種メディアを通じてユーザに広く周知が期待できる 9

国際調整案件となったハンドリング事例 JVN#61247051 OpenSSL における Change Cipher Spec メッセージの処理に脆弱性 https://jvn.jp/jp/jvn61247051/index.html 本件の詳細はこちら Lessons (to be) Learned from Handling OpenSSL Vulnerabilities https://www.slideshare.net/jpcert_securecoding/lessons-to-be-learned-from-handling-openssl-vulnerabilities 10

発見者 研究者の皆さまに知っておいてほしいこと 脆弱性を発見したら 届出窓口にご連絡を! ベンダとの調整を行っている CERT 組織は世界でも限られています JPCERT/CC, CERT/CC, ICS-CERT, NCSC-FI, NCSC-NL JPCERT/CC は 各国 CERT と NDA を締結し国際連携をしています JPCERT/CC は CVE Numbering Authorities (CNA) です 世界でも数少ない Root CNA MITRE より事前に CVE ブロックを取得しており JVN で脆弱性情報公表する際 各脆弱性に CVE を採番し CVE データベースに Description を投稿しています 海外のベンダとも 頻繁にやり取りがあります 複数社より自社製品の届出や事前情報提供を受け取っています 例 :Adobe, Apple, Google, ASF, ISC, Intel, OpenSSL, etc JPCERT/CC は Responsible Disclosure の精神に則り調整します 原則 Coordinated Disclosure( 公表前調整 ) をおこないます ただし ゼロデイ時はこの限りではなく 緊急注意喚起発行もします 11

届出制度に報告する際 ご協力いただきたい点 学会 カンファレンス等での発表を控えている案件の場合 その名称 発表タイトルと発表日 脆弱性対策を進めるベンダにとっては とても重要 受付機関 調整機関にとっても 発見者による発表日 ( 同日または翌日 ) が脆弱性情報公表日となるため 必要な情報 影響範囲や懸念点等 プラグイン ライブラリ ウェブアプリケーション等である場合 それを取込んだ製品が多数存在していると マルチ案件 ( 国際展開 調整に転じる ) となり 調整も大掛かりに 影響範囲が多岐であったり その懸念がある場合は 届出に記載をお願いします 海外製品の場合 届出 検証結果や提示可能なペーパーは 可能であれば英文でご提示いただけると助かります JPCERT/CC で届出の翻訳はしていますが 誤訳防止 かつ届出時に英文であれば早期展開も可能となります 脆弱性情報の届出等詳細については IPA 様からの公開資料がとても参考になります! 脆弱性届出制度に関する説明会資料 (PDF2.06MB) https://www.ipa.go.jp/files/000063028.pdf 12

脆弱性ハンドリングに関するお問い合わせ 脆弱性情報 ハンドリングに関して Email:vultures@jpcert.or.jp https://www.jpcert.or.jp/vh/top.html 製品開発者登録に関して Email:poc-vh@jpcert.or.jp https://www.jpcert.or.jp/vh/register.html JPCERT コーディネーションセンター Email:pr@jpcert.or.jp https://www.jpcert.or.jp/ 13

ご清聴ありがとうございました 14

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック