SlideShare a Scribd company logo
1 of 63
Download to read offline
いま改めて製品開発者の脆弱性
対応について考える
~情報セキュリティ早期警戒パートナーシップを
運用する調整機関の視点から~
JPCERTコーディネーションセンター
早期警戒グループ
池田 幸博
Copyright ©2019 JPCERT/CC All rights reserved.
自己紹介
所属:JPCERTコーディネーションセンター
早期警戒グループ
脆弱性ハンドリングチーム
氏名:池田 幸博
1
Copyright ©2019 JPCERT/CC All rights reserved.
本日の内容
本日は、情報セキュリティ早期警戒パートナーシップに
おける脆弱性の取り扱いについてお話しします。
JPCERT/CC とは
脆弱性とは
情報セキュリティ早期警戒パートナーシップについて
JVN とは
脆弱性のハンドリングについて
2
Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは
3
Copyright ©2019 JPCERT/CC All rights reserved.
コーディネータ脆弱性発見者
JPCERT/CC とは - 脆弱性情報についてのかかわり -
4
発見者
ユーザ
セキュリ
ティベンダ
攻撃者
ダークウェブ
IPA
JPCERT/CC
バグバウン
ティ
警察
ユーザ製品
脆弱性情報の利用者
メディア
政府
製品開発者
ユーザ企業
ユーザ
協力
アドバイザリ提供
報告
アップデート、
回避策提供
攻撃
情報の仲介、
調整
対策
情報提供
モニタ
リング
OSINT
(情報収集)
情報提供
Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは
一般社団法人 JPCERTコーディネーションセンター
Japan Computer Emergency Response Team Coordination Center
ジェーピーサート コーディネーションセンター
日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等
(主に、情報セキュリティ担当者)がサービス対象
コンピュータセキュリティインシデントへの対応、国内外にセンサをおいたインターネット
定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応などを通じ、
セキュリティ向上を推進
インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、
我が国の窓口となるCSIRT(窓口CSIRT)
CSIRT: Computer Security Incident Response Team
※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT, 韓国のKrCERT/CC、等)
経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施
5
Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは - JPCERT/CC で行っていること -
6
インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応
重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報
海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援
マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析
各種業務を円滑に行うための海外関係機関との連携国際連携
制御システムに関するインシデントハンドリング、情報収集・分析発信制御システムセキュリティ
日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携
脆弱性情報ハンドリング
 未公開の脆弱性関連情報を製品開発者へ
提供し、対応依頼
 関係機関と連携し、国際的に情報公開日
を調整
 セキュアなコーディング手法の普及
 制御システムに関する脆弱性関連情報の
適切な流通
 マルウエアの接続先等の攻撃関連サイ
ト等の閉鎖等による被害最小化
 攻撃手法の分析支援による被害可能性
の確認、拡散抑止
 再発防止に向けた関係各関の情報交換
及び情報共有
インシデントハンドリング
(インシデント対応調整支援)
情報収集・分析・発信
定点観測(TSUBAME)
 ネットワークトラフィック情報の収集
分析
 セキュリティ上の脅威情報の収集、分
析、必要とする組織への提供
Copyright ©2019 JPCERT/CC All rights reserved.
JPCERT/CC とは
政府機関や企業からは独立した中立の組織です。
技術的な立場における日本の窓口 CSIRT です。
経産省の告示に基づいて指定された脆弱性の調整機関で
す。
7
Copyright ©2019 JPCERT/CC All rights reserved.
IPA と共同で JVN を運営しています。
JPCERT/CC とは
8
https://jvn.jp
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
9
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
代表的な脆弱性
・バッファオーバーフロー (CWE-119)
・クロスサイトスクリプティング (CWE-79)
・クロスサイトリクエストフォージェリ (CWE-352)
・コマンドインジェクション (CWE-78)
など
10
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
脆弱性はソフトウェア(やそれを搭載した組込み製品)
におけるセキュリティ上の弱点のことです。
悪用されると次のようなセキュリティ上の被害をおよぼ
します。
・情報漏えい
・機器の乗っ取り
・機器の機能停止
など
11
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
12
アメリカ国立標準技術研究所 (NIST) :
https://nvd.nist.gov/general/visualizations/vulnerability-
visualizations/cwe-over-time
メモリバッファの境界内での操作
の不適切な制限
クロスサイトスクリプティング
入力検証不備
報告される
脆弱性は増加
しています。
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性とは
13
アメリカ国立標準技術研究所 (NIST) :
https://nvd.nist.gov/general/visualizations/vulnerability-
visualizations/cwe-over-time
主要な脆弱
性の割合は、
各年であま
り変化があ
りません。
メモリバッファの境界内での操作
の不適切な制限
クロスサイトスクリプティング
入力検証不備
Copyright ©2019 JPCERT/CC All rights reserved.
情報セキュリティ早期警戒パー
トナーシップについて
14
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報ハンドリング - 脆弱性情報の流通(ソフトウェア製品)-
15
JPCERT/CCJPCERT/CC
メーカ5メーカ5
メーカ4メーカ4
脆弱性の検証
対策の作成
エンド
ユーザ
エンド
ユーザ
企業
ユーザ
企業
ユーザ
SIerSIer
ISPISP
小売小売
マス
コミ
マス
コミ
メーカ2メーカ2
メーカ1メーカ1
脆弱性情報
の開示、
公表日程
の調整
対策情報
の提供
メーカ3メーカ3
通知
通知
脆弱性情報
の報告
ネット上
の情報
ネット上
の情報
収集
JVN
(脆弱性情報ポータル)
JVN
(脆弱性情報ポータル)
受付
分析
日程を
合わせて
公表
脆弱性の
発見者
脆弱性の
発見者
NCSC-FI
NCSC-NL
CPNI
等
NCSC-FI
NCSC-NL
CPNI
等
海外の
情報源
海外の
情報源
海外の
情報源
海外の
情報源
CERT/CC
ICS-CERT
等
CERT/CC
ICS-CERT
等
IPAIPA
日程を
合わせて
公表
MITREMITRE
CERT/CC : CERT Coordination Center https://www.kb.cert.org/vuls/
CPNI : Centre for the Protection of National Infrastructure https://www.cpni.gov.uk/
NCSC-NL: https://www.ncsc.nl/
NCSC-FI : https://www.kyberturvallisuuskeskus.fi/
CISA / ICS-CERT : https://www.us-cert.gov/ics
MITRE : https://cve.mitre.org/
対策情報の
とりまとめ
CVE# 採番
Copyright ©2019 JPCERT/CC All rights reserved.
コーディネータ脆弱性発見者
脆弱性情報ハンドリングと情報セキュリティ早期警戒パートナーシップ
16
発見者
ユーザ
攻撃者
ダークウェブ
IPA
JPCERT/CC
ユーザ製品
脆弱性情報の利用者
メディア
製品開発者
(メーカ)
ユーザ企業
ユーザ
アドバイザリ提供
報告
アップデート、
回避策提供
セキュリ
ティベンダ
情報セキュリティ早期警戒
パートナーシップ
Copyright ©2019 JPCERT/CC All rights reserved.
情報セキュリティ早期警戒パートナーシップとは
情報セキュリティ早期警戒パートナーシップは
・経産省の告示に基づく
・脆弱性情報の適切な取扱いを実現する
・連携の仕組み
になります。
17
Copyright ©2019 JPCERT/CC All rights reserved.
情報セキュリティ早期警戒パートナーシップとは
18
発見者 IPA JPCERT/CC 開発者
届出 通知
対策
JVNで一般公表
Copyright ©2019 JPCERT/CC All rights reserved.
経産省の告示とは
関係のある経産省の告示は 脆弱性関連情報に関する取り扱いと、
受付機関、調整機関を定めた次の 2種類
平成29年経済産業省告示第19号
ソフトウエア製品等の脆弱性関連情報に関する取扱規程
(http://www.meti.go.jp/policy/netsecurity/vul_notification.pdf)
平成29年経済産業省告示第20号
受付機関及び調整機関を定める告示
(http://www.meti.go.jp/policy/netsecurity/vul_institutions.pdf)
19
Copyright ©2019 JPCERT/CC All rights reserved.
経産省の告示とは
告示により決定されている事項
・脆弱性関連情報に関する取り扱い
・受付機関(IPA(独立行政法人情報処理推進機構))
・調整機関(JPCERT/CC)
が指定されています。
JPCERT/CC は調整機関として次の役割を担います。
・製品開発者へ脆弱性関連情報を通知する
・製品開発者との間で脆弱性対応と公表について調整する
20
Copyright ©2019 JPCERT/CC All rights reserved.
取り扱う製品の対象
取り扱う対象は「ソフトウェア製品の脆弱性」と「Web
サイトの脆弱性」があります。
「ソフトウェア製品の脆弱性」は、ソフトウェア、IoT 機
器 (ソフトウェアを搭載した組み込み機器)、スマート
フォンのアプリなど様々。OSS 製品も対象です。
「Webサイトの脆弱性」は、インターネット上にある数
多の Web サイトが対象(※本稿のスコープ外)
21
Copyright ©2019 JPCERT/CC All rights reserved.
対象は多岐にわたります
22
Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
23
Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
JVN は IPA と JPCERT/CC が共同で運営しているサイト
です。
主に調整を行った結果としての脆弱性アドバイザリを掲
載しています。
24
Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
よく JVN iPedia と混同されます。
25
IPA と JPCERT/CC が共同運営し
ているサイト (jvn.jp )
脆弱性情報の速報サイト
IPA が運営しているサイト
( jvndb.jvn.jp )
脆弱性情報のアーカイブ
Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
26
Copyright ©2019 JPCERT/CC All rights reserved.
公表されるアドバイザリ
27
概要
影響を受ける
システム
詳細情報
対策方法
ベンダ情報
JPCERT/CC
による脆弱性
分析結果
(CVSSv2、
CVSSv3)
謝辞
CVE ID
JVN iPedia 番号
Copyright ©2019 JPCERT/CC All rights reserved.
JVN とは
アドバイザリの他にも掲載に承諾している開発者の一覧
や連絡が取れない開発者の一覧も掲載しています。
28
Copyright ©2019 JPCERT/CC All rights reserved.
JVN で公表している主な情報
29
制度に基づいて調
整・公表した脆弱性
情報
開発者と連絡が取れ
ない案件
制度以外の調整案件
や海外の CERT が主
導で公表した案件な
ど
注意喚起など
連絡が取れない開発
者の一覧
掲載に承諾している
開発者の一覧
Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note JP
30
「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表した脆弱性情
報です。
Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note JP (連絡不能開発者)
31
連絡不能開発者一覧による公開調査でも、連絡が取れなかった製品開発者が提供する
ソフトウェア製品の脆弱性情報です。公表するアドバイザリも通常の公表内容とは異
なります。
Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note JP (連絡不能開発者) - 公表されるアドバイザリ-
32
概要
ベンダ情報、
製品情報
詳細情報
想定される影響
対策方法
ベンダの見解
JPCERT/CC か
らの補足情報
JPCERT/CC に
よる脆弱性分
析結果
(CVSSv2、
CVSSv3)
検証情報
謝辞
関連文書
Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note VU
33
CERT/CC など海外の CERT が主導で公表した脆弱性情報や、発見者、開発者、調整
機関などから連絡を受け、JPCERT/CC が調整・公表した脆弱性情報です。
Copyright ©2019 JPCERT/CC All rights reserved.
Japan Vulnerability Note TA
34
US-CERT が公表した注意喚起情報や、調整有無に関わらず、必要に応じて
JPCERT/CC が公表する注意喚起情報です。
Copyright ©2019 JPCERT/CC All rights reserved.
「JPCERT/CC製品開発者リスト」登録ベンダ一覧
35
JVN に名称、セキュリティ情報および脆弱性情報受付窓口の掲載に承諾した製品開発
者のみ記載しています。
Copyright ©2019 JPCERT/CC All rights reserved.
届出られたソフトウェア製品のうち、インターネット等から入手し得る情報では連絡
が取れず、製品の開発者またはその関係者からの連絡を求めている、製品開発者の一
覧です。
連絡不能開発者一覧
36
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性のハンドリングについて
37
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性ハンドリングにおける JPCERT/CC の役割
JPCERT/CC には、受付機関である IPAが発見者から受けた脆
弱性届出のうち、届出内容の精査を経て受理された届出情報が
送られてきます。
JPCERT/CC では送られてきた届出情報について、内容の妥当
性を確認し、開発者との調整を進めるかどうか、対象となる開
発者は誰か等を検討します。
検討の結果、調整を進めると判断した場合は、開発者に通知し
脆弱性への対応を依頼するとともに、公表に関するスケジュー
ルを調整し決定します。
38
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性ハンドリングにおける JPCERT/CC の役割
39
発見者 IPA JPCERT/CC 開発者
届出 通知
対策
JVN で一般公表
検討・受理 検討・受理
調整調整
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
調整を進めると決定したら、対象の製品開発者が過去に
連絡を取ったことのある開発者かを確認します。
過去に調整を行った実績のある開発者の場合は、新たな
脆弱性情報を送り、対応を依頼し調整を進めることにつ
いての障害はありません。
問題は「新規の開発者」の場合です。
40
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
41
発見者 IPA JPCERT/CC 開発者
届出 通知
連絡先がわかっている場合
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
「新規の開発者」すなわちこれまで調整を行ったことがない開
発者の場合、まず相手のコンタクト先を探すことになります。
開発者は製品を開発した企業や個人が対象です。
確認するのは製品のことが記載された Web サイトや SNS で
す。
連絡先としてまずは次の情報がないかを確認します。
・メールアドレス
・Web サイトのフォーム機能
42
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知
メールアドレスなど見つからない場合は次の情報も探し、
何らかの方法で開発者と連絡をできるように努力します。
・SNS
・電話番号
・住所
43
Copyright ©2019 JPCERT/CC All rights reserved.
開発者の捜索
44
発見者 IPA
届出
新規の開発者の場合
捜索
インターネット
JPCERT/CC
発見
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知 - 連絡先が見つからない -
事例 1
メールアドレスを見つけたと思ったら稼働していないドメ
インのメールアドレスだった。
事例 2
自動返信はあるが、正式な連絡がない。
事例 3
使用されているはずなのに返信がない。
45
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者への通知 - 連絡先が見つかったら -
開発者の連絡先を発見したら企業、個人問わず連絡をし
ます。
もしも JPCERT/CC からのメールを受け取ったら、いた
ずらメールとは思わずに、まずは内容を確認してくださ
い。
46
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
脆弱性情報を通知した製品開発者から、製品への影響の有無や、
対応方針、スケジュールなどを聴取します。
開発者の情報公開にあわせ、JVN での公表に向けて次の点を
開発者と合意します。
・公表日時
・公表文案
・名称の表記
調整が順調に進み開発者が情報を公開したら、JVN にアドバ
イザリを掲載します。
47
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
48
発見者 IPA JPCERT/CC 開発者
公表報告 通知
対策
JVN で一般公表
調整
調整
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
場合によっては、開発者から次のような連絡があります。
・対応ができた製品を検証して欲しい
・脆弱性ではなく仕様
・脆弱性が再現できない
・すでに対応している
・直すつもりはない
連絡の内容によって、状況を詳細に確認したり、IPA や
発見者にも確認を取ることもあります。
49
Copyright ©2019 JPCERT/CC All rights reserved.
製品開発者との調整
事例1 対応ができた製品の検証依頼
開発者から依頼があり、IPA 経由で発見者に検証を依頼。
発見者の検証で脆弱性が修正しきれていないことが判明し、再度開発者が修正を行った後に
JVN で公表した。
事例2 脆弱性にすでに対応している
開発者が届出の脆弱性を確認したところ、届出を受け取る前に偶然アップデートで対応をして
いた。この件では開発者と相談し、アップデートを促す内容で JVN に掲載した。
事例3 更新を取りやめているソフトウェア
開発者に連絡したところ、更新を取りやめているソフトウェアであることがわかり、開発者と
相談の上、使用を停止する内容で JVN に掲載した。
事例4 JVN で公表した後に修正漏れが発覚
JVN での公表後に、発見者より修正漏れがあるとの情報を入手。開発者へ連絡し、修正後に
JVN に追加で情報を記載した。
50
Copyright ©2019 JPCERT/CC All rights reserved.
対応しないとどうなる?
連絡不能案件の公表
「届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新た
な運用を開始」 (2015年9月3日から)
https://www.ipa.go.jp/about/press/20150903.html
51
件数は2015年6月時点
Copyright ©2019 JPCERT/CC All rights reserved.
対応しないとこうなります
2018年も 3月13日に 9件公表
52
Copyright ©2019 JPCERT/CC All rights reserved.
まとめ
53
Copyright ©2019 JPCERT/CC All rights reserved.
まとめ
明日にも自分が巻き込まれるかもしれません。すべての
ソフトウェアエンジニアは脆弱性への対応に備えるべき
と考えてください。
脆弱性への対策には JVN、JVN iPedia を活用してくださ
い。
54
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報を受け取る窓口はありますか?
自社製品のセキュリティ問題の報告を受ける公式な窓口
はありますか?
メールボックス名の命名規則 RFC2142 を参考に、検討
することをお勧めいたします。
例: security@●●●●.co.jp
関連 URL: https://www.ietf.org/rfc/rfc2142.txt
http://rfc-jp.nic.ad.jp/rfc-jp/RFC2142-JP.txt
55
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報を受け取る窓口はありますか?
JPCERT/CC からの連絡を受けとるために準備をお願い
したいのは、
・窓口となるメールアドレスを公開している
もしくは
・製品開発者リストに事前に登録しておく
これだけです。
後は JPCERT/CC が探して連絡します。
56
Copyright ©2019 JPCERT/CC All rights reserved.
脆弱性情報を受け取る窓口はありますか?
JPCERT/CC では JVN に掲載する「製品開発者」の登録
も受け付けています (製品開発者リスト)。
連絡ができる正式な窓口として JVN に掲載したい場合は
ご相談ください。
57
Copyright ©2019 JPCERT/CC All rights reserved.
誰でも関わる可能性があります
あなたが最終製品の開発者でなくても、受託開発した部
品に脆弱性が見つかるかもしれません。
あなたがソフトウェアや機器の製造販売者でなくても、
サービス提供のために外注して作らせ配布しているスマ
ホアプリに脆弱性があるかもしれません。
あなたが開発し提供するツールやコンポーネントは、あ
なたの意図に反して、想定外の安全でない使われ方に
よって普及するかもしれません。
58
Copyright ©2019 JPCERT/CC All rights reserved.
参考
情報セキュリティ早期警戒パートナーシップガイドライン
2019年版
(https://www.jpcert.or.jp/vh/partnership_guideline2019.pdf)
ソフトウェア製品開発者による脆弱性対策情報の公表マニュア
ル 情報セキュリティ早期警戒パートナーシップガイドライン
付録5抜粋編
(https://www.jpcert.or.jp/vh/vuln_announce_manual2009.pdf)
JPCERT/CC 活動概要 2019 年4月1 日~2019年6月30 日
(https://www.jpcert.or.jp/pr/2019/PR_20190711.pdf)
59
Copyright ©2019 JPCERT/CC All rights reserved.60
ご相談やお問い合わせ
JPCERTコーディネーションセンター
—Email:pr@jpcert.or.jp
—https://www.jpcert.or.jp/
製品開発者登録に関するもの
—Email:poc-vh@jpcert.or.jp
脆弱性に関する一般的なもの
—Email:vultures@jpcert.or.jp
JVNに関するもの
—Email: jvn@jvn.jp
※資料に記載の社名、製品名は各社の商標または登録商標です。
Copyright ©2019 JPCERT/CC All rights reserved.61
ご清聴ありがとうございました
Copyright ©2019 JPCERT/CC All rights reserved.62
Thank you!

More Related Content

What's hot

2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshareShinichiro Kawano
 
2019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap20192019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap2019Shinichiro Kawano
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
20210404_SECURITY_MELT
20210404_SECURITY_MELT20210404_SECURITY_MELT
20210404_SECURITY_MELTTyphon 666
 
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshareShinichiro Kawano
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由グローバルセキュリティエキスパート株式会社(GSX)
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3minShinichiro Kawano
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...Typhon 666
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" 2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" Shinichiro Kawano
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」JPCERT Coordination Center
 
1TB/dayのログを収集・蓄積する技術
1TB/dayのログを収集・蓄積する技術1TB/dayのログを収集・蓄積する技術
1TB/dayのログを収集・蓄積する技術uchan_nos
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』aitc_jp
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)Masanori KAMAYAMA
 
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)Takayuki Ushida
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshareShinichiro Kawano
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 Hiroaki Kuramochi
 

What's hot (20)

A1-6 ドメイン乗っ取られた!!
A1-6 ドメイン乗っ取られた!!A1-6 ドメイン乗っ取られた!!
A1-6 ドメイン乗っ取られた!!
 
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
2020 0221 f-secure_jaws-ug_sapporo_25_slideshare
 
2019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap20192019 1212 fin-jaws_08_re_cap2019
2019 1212 fin-jaws_08_re_cap2019
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
20210404_SECURITY_MELT
20210404_SECURITY_MELT20210404_SECURITY_MELT
20210404_SECURITY_MELT
 
2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare2019 1214 io_t_sec_jp_06_kawano_slideshare
2019 1214 io_t_sec_jp_06_kawano_slideshare
 
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
~2018年Webセキュリティ最前線セミナー~ 今や従来通りの対策ではWebセキュリティが万全ではないこれだけの理由
 
2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min2019 0917 nw-jaws_f-secure3min
2019 0917 nw-jaws_f-secure3min
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
20201124 Incident Response in JAWS-UG to spoofed emails sent by the AWS Event...
 
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna" 2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
2020 0413 Ebisu Security Boys "Cloud Security for Beginner and Sauna"
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
 
1TB/dayのログを収集・蓄積する技術
1TB/dayのログを収集・蓄積する技術1TB/dayのログを収集・蓄積する技術
1TB/dayのログを収集・蓄積する技術
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
 
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
2016年9月6日 IoTとセキュリティ『IoT開発におけるセキュリティ設計の手引き』
 
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
 
脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)脆弱性スキャナVuls(入門編)
脆弱性スキャナVuls(入門編)
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
 
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013 アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
アスカン2018秋ーカイハツセキュリティ3つのレシピ-20181013
 

Similar to いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~

20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本VxRail ChampionClub
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介csig-info
 
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐  - CODE BLUE 2015日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐  - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015CODE BLUE
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
アプリ向け エラー・クラッシュ検知ツールの 運用品質について@Ques13th
アプリ向けエラー・クラッシュ検知ツールの運用品質について@Ques13thアプリ向けエラー・クラッシュ検知ツールの運用品質について@Ques13th
アプリ向け エラー・クラッシュ検知ツールの 運用品質について@Ques13thHiroki Nakai
 
CameraXへの安全なライブラリ移行方法.pptx
CameraXへの安全なライブラリ移行方法.pptxCameraXへの安全なライブラリ移行方法.pptx
CameraXへの安全なライブラリ移行方法.pptx松川 知憲
 
CDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めよう
CDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めようCDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めよう
CDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めようvxsejapan
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdfmihokawagoe
 
Cloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略について
Cloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略についてCloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略について
Cloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略についてJunji Nishihara
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LTichikaway
 

Similar to いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~ (14)

20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本
 
CyberACEProfile
CyberACEProfileCyberACEProfile
CyberACEProfile
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
 
IT全般統制の継続的強化
IT全般統制の継続的強化IT全般統制の継続的強化
IT全般統制の継続的強化
 
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐  - CODE BLUE 2015日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐  - CODE BLUE 2015
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
アプリ向け エラー・クラッシュ検知ツールの 運用品質について@Ques13th
アプリ向けエラー・クラッシュ検知ツールの運用品質について@Ques13thアプリ向けエラー・クラッシュ検知ツールの運用品質について@Ques13th
アプリ向け エラー・クラッシュ検知ツールの 運用品質について@Ques13th
 
CameraXへの安全なライブラリ移行方法.pptx
CameraXへの安全なライブラリ移行方法.pptxCameraXへの安全なライブラリ移行方法.pptx
CameraXへの安全なライブラリ移行方法.pptx
 
CDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めよう
CDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めようCDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めよう
CDPを搭載し、最小RPOの複製まで進化したNetBackupのプライマリレプリケーション、その実力を見極めよう
 
Treat stop preso
Treat stop presoTreat stop preso
Treat stop preso
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
Cloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略について
Cloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略についてCloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略について
Cloud Native市場動向およびRancher Labsが提供するKubernetes Everywhere戦略について
 
アフターコロナでより重宝される アプリカテゴリとその成功法則
アフターコロナでより重宝される アプリカテゴリとその成功法則アフターコロナでより重宝される アプリカテゴリとその成功法則
アフターコロナでより重宝される アプリカテゴリとその成功法則
 
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
継続的Webセキュリティテスト PHPカンファレンス関西2015 LT
 

More from JPCERT Coordination Center

安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)JPCERT Coordination Center
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性JPCERT Coordination Center
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...JPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)JPCERT Coordination Center
 
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)JPCERT Coordination Center
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JPCERT Coordination Center
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性JPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性JPCERT Coordination Center
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)JPCERT Coordination Center
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)JPCERT Coordination Center
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JPCERT Coordination Center
 
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性JPCERT Coordination Center
 
Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性JPCERT Coordination Center
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性JPCERT Coordination Center
 
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説JPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説JPCERT Coordination Center
 

More from JPCERT Coordination Center (20)

安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
 
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデルソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
 
Android Secure Coding
Android Secure CodingAndroid Secure Coding
Android Secure Coding
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
 
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
 
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性
 
Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性
 
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
 
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説
 
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説
 

いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~

  • 2. Copyright ©2019 JPCERT/CC All rights reserved. 自己紹介 所属:JPCERTコーディネーションセンター 早期警戒グループ 脆弱性ハンドリングチーム 氏名:池田 幸博 1
  • 3. Copyright ©2019 JPCERT/CC All rights reserved. 本日の内容 本日は、情報セキュリティ早期警戒パートナーシップに おける脆弱性の取り扱いについてお話しします。 JPCERT/CC とは 脆弱性とは 情報セキュリティ早期警戒パートナーシップについて JVN とは 脆弱性のハンドリングについて 2
  • 4. Copyright ©2019 JPCERT/CC All rights reserved. JPCERT/CC とは 3
  • 5. Copyright ©2019 JPCERT/CC All rights reserved. コーディネータ脆弱性発見者 JPCERT/CC とは - 脆弱性情報についてのかかわり - 4 発見者 ユーザ セキュリ ティベンダ 攻撃者 ダークウェブ IPA JPCERT/CC バグバウン ティ 警察 ユーザ製品 脆弱性情報の利用者 メディア 政府 製品開発者 ユーザ企業 ユーザ 協力 アドバイザリ提供 報告 アップデート、 回避策提供 攻撃 情報の仲介、 調整 対策 情報提供 モニタ リング OSINT (情報収集) 情報提供
  • 6. Copyright ©2019 JPCERT/CC All rights reserved. JPCERT/CC とは 一般社団法人 JPCERTコーディネーションセンター Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネーションセンター 日本国内のインターネット利用者やセキュリティ管理担当者、ソフトウエア製品開発者等 (主に、情報セキュリティ担当者)がサービス対象 コンピュータセキュリティインシデントへの対応、国内外にセンサをおいたインターネット 定点観測、ソフトウエアや情報システム・制御システム機器等の脆弱性への対応などを通じ、 セキュリティ向上を推進 インシデント対応をはじめとする、国際連携が必要なオペレーションや情報連携に関する、 我が国の窓口となるCSIRT(窓口CSIRT) CSIRT: Computer Security Incident Response Team ※各国に同様の窓口となるCSIRTが存在する(米国のUS-CERT、CERT/CC、中国のCNCERT, 韓国のKrCERT/CC、等) 経済産業省からの委託事業として、サイバー攻撃等国際連携対応調整事業を実施 5
  • 7. Copyright ©2019 JPCERT/CC All rights reserved. JPCERT/CC とは - JPCERT/CC で行っていること - 6 インシデントの予測と捕捉インシデント予防 発生したインシデントへの対応 重要インフラ、重要情報インフラ事業者等の特定組織向け情報発信早期警戒情報 海外のNational-CSIRTや企業内のセキュリティ対応組織の構築・運用支援CSIRT構築支援 マルウエア(不正プログラム)等の攻撃手法の分析、解析アーティファクト分析 各種業務を円滑に行うための海外関係機関との連携国際連携 制御システムに関するインシデントハンドリング、情報収集・分析発信制御システムセキュリティ 日本シーサート協議会、フィッシング対策協議会の事務局運営等国内外関係者との連携 脆弱性情報ハンドリング  未公開の脆弱性関連情報を製品開発者へ 提供し、対応依頼  関係機関と連携し、国際的に情報公開日 を調整  セキュアなコーディング手法の普及  制御システムに関する脆弱性関連情報の 適切な流通  マルウエアの接続先等の攻撃関連サイ ト等の閉鎖等による被害最小化  攻撃手法の分析支援による被害可能性 の確認、拡散抑止  再発防止に向けた関係各関の情報交換 及び情報共有 インシデントハンドリング (インシデント対応調整支援) 情報収集・分析・発信 定点観測(TSUBAME)  ネットワークトラフィック情報の収集 分析  セキュリティ上の脅威情報の収集、分 析、必要とする組織への提供
  • 8. Copyright ©2019 JPCERT/CC All rights reserved. JPCERT/CC とは 政府機関や企業からは独立した中立の組織です。 技術的な立場における日本の窓口 CSIRT です。 経産省の告示に基づいて指定された脆弱性の調整機関で す。 7
  • 9. Copyright ©2019 JPCERT/CC All rights reserved. IPA と共同で JVN を運営しています。 JPCERT/CC とは 8 https://jvn.jp
  • 10. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性とは 9
  • 11. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性とは 代表的な脆弱性 ・バッファオーバーフロー (CWE-119) ・クロスサイトスクリプティング (CWE-79) ・クロスサイトリクエストフォージェリ (CWE-352) ・コマンドインジェクション (CWE-78) など 10
  • 12. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性とは 脆弱性はソフトウェア(やそれを搭載した組込み製品) におけるセキュリティ上の弱点のことです。 悪用されると次のようなセキュリティ上の被害をおよぼ します。 ・情報漏えい ・機器の乗っ取り ・機器の機能停止 など 11
  • 13. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性とは 12 アメリカ国立標準技術研究所 (NIST) : https://nvd.nist.gov/general/visualizations/vulnerability- visualizations/cwe-over-time メモリバッファの境界内での操作 の不適切な制限 クロスサイトスクリプティング 入力検証不備 報告される 脆弱性は増加 しています。
  • 14. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性とは 13 アメリカ国立標準技術研究所 (NIST) : https://nvd.nist.gov/general/visualizations/vulnerability- visualizations/cwe-over-time 主要な脆弱 性の割合は、 各年であま り変化があ りません。 メモリバッファの境界内での操作 の不適切な制限 クロスサイトスクリプティング 入力検証不備
  • 15. Copyright ©2019 JPCERT/CC All rights reserved. 情報セキュリティ早期警戒パー トナーシップについて 14
  • 16. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性情報ハンドリング - 脆弱性情報の流通(ソフトウェア製品)- 15 JPCERT/CCJPCERT/CC メーカ5メーカ5 メーカ4メーカ4 脆弱性の検証 対策の作成 エンド ユーザ エンド ユーザ 企業 ユーザ 企業 ユーザ SIerSIer ISPISP 小売小売 マス コミ マス コミ メーカ2メーカ2 メーカ1メーカ1 脆弱性情報 の開示、 公表日程 の調整 対策情報 の提供 メーカ3メーカ3 通知 通知 脆弱性情報 の報告 ネット上 の情報 ネット上 の情報 収集 JVN (脆弱性情報ポータル) JVN (脆弱性情報ポータル) 受付 分析 日程を 合わせて 公表 脆弱性の 発見者 脆弱性の 発見者 NCSC-FI NCSC-NL CPNI 等 NCSC-FI NCSC-NL CPNI 等 海外の 情報源 海外の 情報源 海外の 情報源 海外の 情報源 CERT/CC ICS-CERT 等 CERT/CC ICS-CERT 等 IPAIPA 日程を 合わせて 公表 MITREMITRE CERT/CC : CERT Coordination Center https://www.kb.cert.org/vuls/ CPNI : Centre for the Protection of National Infrastructure https://www.cpni.gov.uk/ NCSC-NL: https://www.ncsc.nl/ NCSC-FI : https://www.kyberturvallisuuskeskus.fi/ CISA / ICS-CERT : https://www.us-cert.gov/ics MITRE : https://cve.mitre.org/ 対策情報の とりまとめ CVE# 採番
  • 17. Copyright ©2019 JPCERT/CC All rights reserved. コーディネータ脆弱性発見者 脆弱性情報ハンドリングと情報セキュリティ早期警戒パートナーシップ 16 発見者 ユーザ 攻撃者 ダークウェブ IPA JPCERT/CC ユーザ製品 脆弱性情報の利用者 メディア 製品開発者 (メーカ) ユーザ企業 ユーザ アドバイザリ提供 報告 アップデート、 回避策提供 セキュリ ティベンダ 情報セキュリティ早期警戒 パートナーシップ
  • 18. Copyright ©2019 JPCERT/CC All rights reserved. 情報セキュリティ早期警戒パートナーシップとは 情報セキュリティ早期警戒パートナーシップは ・経産省の告示に基づく ・脆弱性情報の適切な取扱いを実現する ・連携の仕組み になります。 17
  • 19. Copyright ©2019 JPCERT/CC All rights reserved. 情報セキュリティ早期警戒パートナーシップとは 18 発見者 IPA JPCERT/CC 開発者 届出 通知 対策 JVNで一般公表
  • 20. Copyright ©2019 JPCERT/CC All rights reserved. 経産省の告示とは 関係のある経産省の告示は 脆弱性関連情報に関する取り扱いと、 受付機関、調整機関を定めた次の 2種類 平成29年経済産業省告示第19号 ソフトウエア製品等の脆弱性関連情報に関する取扱規程 (http://www.meti.go.jp/policy/netsecurity/vul_notification.pdf) 平成29年経済産業省告示第20号 受付機関及び調整機関を定める告示 (http://www.meti.go.jp/policy/netsecurity/vul_institutions.pdf) 19
  • 21. Copyright ©2019 JPCERT/CC All rights reserved. 経産省の告示とは 告示により決定されている事項 ・脆弱性関連情報に関する取り扱い ・受付機関(IPA(独立行政法人情報処理推進機構)) ・調整機関(JPCERT/CC) が指定されています。 JPCERT/CC は調整機関として次の役割を担います。 ・製品開発者へ脆弱性関連情報を通知する ・製品開発者との間で脆弱性対応と公表について調整する 20
  • 22. Copyright ©2019 JPCERT/CC All rights reserved. 取り扱う製品の対象 取り扱う対象は「ソフトウェア製品の脆弱性」と「Web サイトの脆弱性」があります。 「ソフトウェア製品の脆弱性」は、ソフトウェア、IoT 機 器 (ソフトウェアを搭載した組み込み機器)、スマート フォンのアプリなど様々。OSS 製品も対象です。 「Webサイトの脆弱性」は、インターネット上にある数 多の Web サイトが対象(※本稿のスコープ外) 21
  • 23. Copyright ©2019 JPCERT/CC All rights reserved. 対象は多岐にわたります 22
  • 24. Copyright ©2019 JPCERT/CC All rights reserved. JVN とは 23
  • 25. Copyright ©2019 JPCERT/CC All rights reserved. JVN とは JVN は IPA と JPCERT/CC が共同で運営しているサイト です。 主に調整を行った結果としての脆弱性アドバイザリを掲 載しています。 24
  • 26. Copyright ©2019 JPCERT/CC All rights reserved. JVN とは よく JVN iPedia と混同されます。 25 IPA と JPCERT/CC が共同運営し ているサイト (jvn.jp ) 脆弱性情報の速報サイト IPA が運営しているサイト ( jvndb.jvn.jp ) 脆弱性情報のアーカイブ
  • 27. Copyright ©2019 JPCERT/CC All rights reserved. JVN とは 26
  • 28. Copyright ©2019 JPCERT/CC All rights reserved. 公表されるアドバイザリ 27 概要 影響を受ける システム 詳細情報 対策方法 ベンダ情報 JPCERT/CC による脆弱性 分析結果 (CVSSv2、 CVSSv3) 謝辞 CVE ID JVN iPedia 番号
  • 29. Copyright ©2019 JPCERT/CC All rights reserved. JVN とは アドバイザリの他にも掲載に承諾している開発者の一覧 や連絡が取れない開発者の一覧も掲載しています。 28
  • 30. Copyright ©2019 JPCERT/CC All rights reserved. JVN で公表している主な情報 29 制度に基づいて調 整・公表した脆弱性 情報 開発者と連絡が取れ ない案件 制度以外の調整案件 や海外の CERT が主 導で公表した案件な ど 注意喚起など 連絡が取れない開発 者の一覧 掲載に承諾している 開発者の一覧
  • 31. Copyright ©2019 JPCERT/CC All rights reserved. Japan Vulnerability Note JP 30 「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表した脆弱性情 報です。
  • 32. Copyright ©2019 JPCERT/CC All rights reserved. Japan Vulnerability Note JP (連絡不能開発者) 31 連絡不能開発者一覧による公開調査でも、連絡が取れなかった製品開発者が提供する ソフトウェア製品の脆弱性情報です。公表するアドバイザリも通常の公表内容とは異 なります。
  • 33. Copyright ©2019 JPCERT/CC All rights reserved. Japan Vulnerability Note JP (連絡不能開発者) - 公表されるアドバイザリ- 32 概要 ベンダ情報、 製品情報 詳細情報 想定される影響 対策方法 ベンダの見解 JPCERT/CC か らの補足情報 JPCERT/CC に よる脆弱性分 析結果 (CVSSv2、 CVSSv3) 検証情報 謝辞 関連文書
  • 34. Copyright ©2019 JPCERT/CC All rights reserved. Japan Vulnerability Note VU 33 CERT/CC など海外の CERT が主導で公表した脆弱性情報や、発見者、開発者、調整 機関などから連絡を受け、JPCERT/CC が調整・公表した脆弱性情報です。
  • 35. Copyright ©2019 JPCERT/CC All rights reserved. Japan Vulnerability Note TA 34 US-CERT が公表した注意喚起情報や、調整有無に関わらず、必要に応じて JPCERT/CC が公表する注意喚起情報です。
  • 36. Copyright ©2019 JPCERT/CC All rights reserved. 「JPCERT/CC製品開発者リスト」登録ベンダ一覧 35 JVN に名称、セキュリティ情報および脆弱性情報受付窓口の掲載に承諾した製品開発 者のみ記載しています。
  • 37. Copyright ©2019 JPCERT/CC All rights reserved. 届出られたソフトウェア製品のうち、インターネット等から入手し得る情報では連絡 が取れず、製品の開発者またはその関係者からの連絡を求めている、製品開発者の一 覧です。 連絡不能開発者一覧 36
  • 38. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性のハンドリングについて 37
  • 39. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性ハンドリングにおける JPCERT/CC の役割 JPCERT/CC には、受付機関である IPAが発見者から受けた脆 弱性届出のうち、届出内容の精査を経て受理された届出情報が 送られてきます。 JPCERT/CC では送られてきた届出情報について、内容の妥当 性を確認し、開発者との調整を進めるかどうか、対象となる開 発者は誰か等を検討します。 検討の結果、調整を進めると判断した場合は、開発者に通知し 脆弱性への対応を依頼するとともに、公表に関するスケジュー ルを調整し決定します。 38
  • 40. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性ハンドリングにおける JPCERT/CC の役割 39 発見者 IPA JPCERT/CC 開発者 届出 通知 対策 JVN で一般公表 検討・受理 検討・受理 調整調整
  • 41. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者への通知 調整を進めると決定したら、対象の製品開発者が過去に 連絡を取ったことのある開発者かを確認します。 過去に調整を行った実績のある開発者の場合は、新たな 脆弱性情報を送り、対応を依頼し調整を進めることにつ いての障害はありません。 問題は「新規の開発者」の場合です。 40
  • 42. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者への通知 41 発見者 IPA JPCERT/CC 開発者 届出 通知 連絡先がわかっている場合
  • 43. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者への通知 「新規の開発者」すなわちこれまで調整を行ったことがない開 発者の場合、まず相手のコンタクト先を探すことになります。 開発者は製品を開発した企業や個人が対象です。 確認するのは製品のことが記載された Web サイトや SNS で す。 連絡先としてまずは次の情報がないかを確認します。 ・メールアドレス ・Web サイトのフォーム機能 42
  • 44. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者への通知 メールアドレスなど見つからない場合は次の情報も探し、 何らかの方法で開発者と連絡をできるように努力します。 ・SNS ・電話番号 ・住所 43
  • 45. Copyright ©2019 JPCERT/CC All rights reserved. 開発者の捜索 44 発見者 IPA 届出 新規の開発者の場合 捜索 インターネット JPCERT/CC 発見
  • 46. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者への通知 - 連絡先が見つからない - 事例 1 メールアドレスを見つけたと思ったら稼働していないドメ インのメールアドレスだった。 事例 2 自動返信はあるが、正式な連絡がない。 事例 3 使用されているはずなのに返信がない。 45
  • 47. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者への通知 - 連絡先が見つかったら - 開発者の連絡先を発見したら企業、個人問わず連絡をし ます。 もしも JPCERT/CC からのメールを受け取ったら、いた ずらメールとは思わずに、まずは内容を確認してくださ い。 46
  • 48. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者との調整 脆弱性情報を通知した製品開発者から、製品への影響の有無や、 対応方針、スケジュールなどを聴取します。 開発者の情報公開にあわせ、JVN での公表に向けて次の点を 開発者と合意します。 ・公表日時 ・公表文案 ・名称の表記 調整が順調に進み開発者が情報を公開したら、JVN にアドバ イザリを掲載します。 47
  • 49. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者との調整 48 発見者 IPA JPCERT/CC 開発者 公表報告 通知 対策 JVN で一般公表 調整 調整
  • 50. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者との調整 場合によっては、開発者から次のような連絡があります。 ・対応ができた製品を検証して欲しい ・脆弱性ではなく仕様 ・脆弱性が再現できない ・すでに対応している ・直すつもりはない 連絡の内容によって、状況を詳細に確認したり、IPA や 発見者にも確認を取ることもあります。 49
  • 51. Copyright ©2019 JPCERT/CC All rights reserved. 製品開発者との調整 事例1 対応ができた製品の検証依頼 開発者から依頼があり、IPA 経由で発見者に検証を依頼。 発見者の検証で脆弱性が修正しきれていないことが判明し、再度開発者が修正を行った後に JVN で公表した。 事例2 脆弱性にすでに対応している 開発者が届出の脆弱性を確認したところ、届出を受け取る前に偶然アップデートで対応をして いた。この件では開発者と相談し、アップデートを促す内容で JVN に掲載した。 事例3 更新を取りやめているソフトウェア 開発者に連絡したところ、更新を取りやめているソフトウェアであることがわかり、開発者と 相談の上、使用を停止する内容で JVN に掲載した。 事例4 JVN で公表した後に修正漏れが発覚 JVN での公表後に、発見者より修正漏れがあるとの情報を入手。開発者へ連絡し、修正後に JVN に追加で情報を記載した。 50
  • 52. Copyright ©2019 JPCERT/CC All rights reserved. 対応しないとどうなる? 連絡不能案件の公表 「届出から1年以上開発者と連絡がとれない“脆弱性”を公開する、新た な運用を開始」 (2015年9月3日から) https://www.ipa.go.jp/about/press/20150903.html 51 件数は2015年6月時点
  • 53. Copyright ©2019 JPCERT/CC All rights reserved. 対応しないとこうなります 2018年も 3月13日に 9件公表 52
  • 54. Copyright ©2019 JPCERT/CC All rights reserved. まとめ 53
  • 55. Copyright ©2019 JPCERT/CC All rights reserved. まとめ 明日にも自分が巻き込まれるかもしれません。すべての ソフトウェアエンジニアは脆弱性への対応に備えるべき と考えてください。 脆弱性への対策には JVN、JVN iPedia を活用してくださ い。 54
  • 56. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性情報を受け取る窓口はありますか? 自社製品のセキュリティ問題の報告を受ける公式な窓口 はありますか? メールボックス名の命名規則 RFC2142 を参考に、検討 することをお勧めいたします。 例: security@●●●●.co.jp 関連 URL: https://www.ietf.org/rfc/rfc2142.txt http://rfc-jp.nic.ad.jp/rfc-jp/RFC2142-JP.txt 55
  • 57. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性情報を受け取る窓口はありますか? JPCERT/CC からの連絡を受けとるために準備をお願い したいのは、 ・窓口となるメールアドレスを公開している もしくは ・製品開発者リストに事前に登録しておく これだけです。 後は JPCERT/CC が探して連絡します。 56
  • 58. Copyright ©2019 JPCERT/CC All rights reserved. 脆弱性情報を受け取る窓口はありますか? JPCERT/CC では JVN に掲載する「製品開発者」の登録 も受け付けています (製品開発者リスト)。 連絡ができる正式な窓口として JVN に掲載したい場合は ご相談ください。 57
  • 59. Copyright ©2019 JPCERT/CC All rights reserved. 誰でも関わる可能性があります あなたが最終製品の開発者でなくても、受託開発した部 品に脆弱性が見つかるかもしれません。 あなたがソフトウェアや機器の製造販売者でなくても、 サービス提供のために外注して作らせ配布しているスマ ホアプリに脆弱性があるかもしれません。 あなたが開発し提供するツールやコンポーネントは、あ なたの意図に反して、想定外の安全でない使われ方に よって普及するかもしれません。 58
  • 60. Copyright ©2019 JPCERT/CC All rights reserved. 参考 情報セキュリティ早期警戒パートナーシップガイドライン 2019年版 (https://www.jpcert.or.jp/vh/partnership_guideline2019.pdf) ソフトウェア製品開発者による脆弱性対策情報の公表マニュア ル 情報セキュリティ早期警戒パートナーシップガイドライン 付録5抜粋編 (https://www.jpcert.or.jp/vh/vuln_announce_manual2009.pdf) JPCERT/CC 活動概要 2019 年4月1 日~2019年6月30 日 (https://www.jpcert.or.jp/pr/2019/PR_20190711.pdf) 59
  • 61. Copyright ©2019 JPCERT/CC All rights reserved.60 ご相談やお問い合わせ JPCERTコーディネーションセンター —Email:pr@jpcert.or.jp —https://www.jpcert.or.jp/ 製品開発者登録に関するもの —Email:poc-vh@jpcert.or.jp 脆弱性に関する一般的なもの —Email:vultures@jpcert.or.jp JVNに関するもの —Email: jvn@jvn.jp ※資料に記載の社名、製品名は各社の商標または登録商標です。
  • 62. Copyright ©2019 JPCERT/CC All rights reserved.61 ご清聴ありがとうございました
  • 63. Copyright ©2019 JPCERT/CC All rights reserved.62 Thank you!