debiruはてなメモ

はてなブログの HTML が Invalid なの、わたし、気になります

【10日目】脆弱性届出制度に関する説明会の件

続きです

9日目の記事で「脆弱性届出制度ができた経緯」を(適当に)書きました。その制度の最近の状況について書いていきます。

脆弱性届出制度に関する説明会の実施

脆弱性届出制度に関する説明会の実施、参加者募集についてという情報が、2017年9月13日に IPA から公開されました。

IPAでは2017年5月に「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂しました。本説明会では、脆弱性発見後に求められる、届出前後の取扱いについて、変更点をご説明します。

開催日時
2017年10月19日(木)10:00 ~ 12:30
開催場所
独立行政法人情報処理推進機構IPA
対象者
過去、パートナーシップにソフトウェア製品もしくはウェブサイトの脆弱性の届出されたことがある方

「過去に脆弱性届出をしたことがある」かつ「2017年10月19日、木曜の午前中に開催場所(東京都文京区)に行ける」という人が参加できたようです。平日の午前中に開催する狙いは何だったのでしょうかね。

当時、私はこの説明会に行こうかとも思ったのですが結局行きませんでした。なので参加された方が書かれた情報を調べてみます。

説明会の内容

勝手にざっくり上記の内容をまとめますが(間違ってるかもしれませんが)、こんな感じでしょうか。

  • 2004年当時よりに比べて、近年は開発者側が脆弱性の取り扱い窓口を用意するところが増えている
  • 脆弱性報奨金制度(バグバウンティ)を導入する企業もある
  • IPA 側も疲弊し始めている(リソース面、人手不足的な問題)

開発者側で適切な脆弱性の取り扱い(問題の修正・周知・技術的な詳細の公表)ができる状況であれば IPA を経由する必要はないよ、という話が一つ目。

リソース面の話は、救急車問題(救急でないのに救急車を呼ぶ人がいたり、救急なのにためらってしまって命を落とす人が出ていたりする問題)を想起しましたが、公的機関(救急車やIPA)に頼らずとも問題を解決できるのであれば、(リソース面の観点で見れば)個別に解決できたほうが望ましいという話でしょうか。

他にもこんな項目があるようです。

  • 脆弱性の重要度に優先順位を付けて対応する(軽微な問題は後回しにする)
  • そのためにも、可能なら報告者がCVSSを計算してね
  • 影響の小さい脆弱性の場合、Webサイト運営者へ報告後は、応答がなくてもクローズするよ

「影響の小さい脆弱性」については、当該ガイドラインの13ページ「(7) 脆弱性関連情報の受理後の対応」にも書いてありますね。

とここまで書いたけれど、「情報セキュリティ早期警戒パートナーシップガイドライン-2017年版」の改訂に伴う運用変更についての文書にもそれなりにまとまっていますね。

脆弱性を見つけたら IPA に報告すべきか

突然ですが、ここで IPA から脆弱性の報告を受けた側(開発者側)の話を見てみましょう。

1つ目の記事では、IPA と開発者側のやりとりの流れが書かれています。

2つ目の記事では、次のようなことが書かれています。

IPA脆弱性を発見したユーザからの指摘を転送し、管理するだけですので、発見ユーザが状況を詳しく説明していただければ直ぐに解決できるのですが、そうでない場合もあります(IPAを通じてやり取りするために、意外と時間がかかります)。

そのため、脆弱性の報告は直接サイト運営会社に連絡頂く方がスムーズに対応ができ、結果としてセキュリティが弱い状態が短くなります。運営会社としては、こちらのほうが良いのですが、IPAを通すことによって、IPAは様々なセキュリティに関する情報を1箇所にまとめることができます。セキュリティのデータベースができるため、やはりIPAに連絡をすることも重要だと思います。

一番良いと思うのは、運営会社に連絡し、対応した後に運営会社がIPAに報告するということだと思いますが、今のところ、そのような報告フォームが無いようですので、このような仕組みを作ってもらえるとありがたいなと思います。

IPA は、報告者(届出した人)からの情報をそのまま開発者(企業)に転送するだけなのですね。(IPA側で調査したり、技術的な補足を入れたりはしないと。)

ということで私だったら原則、まずはサービス事業者(開発者)に直接連絡します。事業者によって適切に対応される期待ができない場合には、今まで通り(CVSSなど計算せずに)IPA に届出します。たぶん。

2つ目の記事で引用した最後に書かれている点(脆弱性情報データベースのための報告)は、IPA ではなく JPCERT/CC が受け付けているはずです。

JPCERT/CC のWebフォーム

JPCERT/CC インシデント報告システム

結構いい感じのフォームに見える。

今日のステータス

https://www.ipa.go.jp/security/vuln/report/index.html

改修中

IPA にも早く JPCERT/CC と同じくらい素敵なウェブ届出フォームを公開してほしい。

これはウェブ届出フォーム Advent Calendar 2017 の記事です。

Next debiru's HINT 「ホームページいうな