Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

脆弱性情報はこうしてやってくる

2,877 views

Published on

Vuls祭り#1 での講演資料です.

Published in: Internet
  • Be the first to comment

脆弱性情報はこうしてやってくる

  1. 1. 脆弱性情報はこうして やってくる JPCERT/CC 情報流通対策グループ ⼾⽥洋三 2016.09.26 Vuls 祭り#1
  2. 2. Copyright ©2016 JPCERT/CC All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト 戸田 洋三 脆弱性情報分析, セキュアコー ディング普及啓発活動…… に努めてます 1
  3. 3. Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCとは JPCERT Coordination Center 日本における情報セキュリティ 対策活動の向上に取り組んでい る組織 2
  4. 4. Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCの主な活動 3
  5. 5. Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 4 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
  6. 6. Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 5 ここができるまでの あれこれを紹介します。 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
  7. 7. Copyright ©2016 JPCERT/CC All rights reserved. JVN とは? 6 JVN JVN.JP Japan Vulnerability Notes 脆弱性関連情報とその対策情報を提供し、情報セキュリティ対 策に資することを目的とする脆弱性対策情報ポータルサイトで す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ りJPCERT コーディネーションセンターと独立行政法人情報処 理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
  8. 8. Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 7 https://jvn.jp/ http://jvndb.jvn.jp/
  9. 9. Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 8 https://jvn.jp/ http://jvndb.jvn.jp/ Vuls が参照してい るのは JVN iPedia.
  10. 10. Copyright ©2016 JPCERT/CC All rights reserved. JVN iPedia とは? 9 JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国 内外問わず公開された脆弱性対策情報を広く公開対象とし、 データベースとして蓄積しています。 一方、JVNでは、…早期警戒パートナーシップで取扱われた脆 弱性関連情報や、協力関係を結んでいる海外のCERT等から の脆弱性対策情報を掲載しています。 http://jvndb.jvn.jp/nav/jvndb.html 脆弱性対策情報が公表されてから一週間程度を目安に公開し ています。 JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国 NISTが運営するNVDおよび国内ベンダから情報収集していま す。
  11. 11. Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: JVNとiPediaの役割分担 10 JVNiPedia JVN ベンダとの調整の結果、公 開に⾄った脆弱性情報を迅 速に掲載。 基本的には JVN と NVD の データをもとに構成。 データの蓄積と検索機能を 重視。
  12. 12. Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: 情報の流れ 11 CVE(MITRE) JVNiPedia JVN NVD(NIST) ………………
  13. 13. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 12 •経済産業省告⽰ •情報セキュリティ早期警戒パートナー シップ
  14. 14. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 13 •経済産業省告⽰ http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html ソフトウエア等脆弱性関連情報取扱基準 (2004年7⽉制定) http://www.meti.go.jp/policy/netsecurity/vulinfo.html
  15. 15. Copyright ©2016 JPCERT/CC All rights reserved. 受付機関と調整機関 14 受付機関: IPA IPA セキュリティセンター 調整機関: JPCERT/CC JPCERT/CC 情報流通対策グループ
  16. 16. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その2) 15 •情報セキュリティ早期警戒パートナー シップ IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒 パートナーシップガイドライン」を公表 (2004年7⽉) 参考: https://www.jpcert.or.jp/press/2004/0708.txt
  17. 17. Copyright ©2016 JPCERT/CC All rights reserved. 届出⇒調整⇒公開 16 https://www.jpcert.or.jp/vh/fig1.gif
  18. 18. Copyright ©2016 JPCERT/CC All rights reserved.17 CVE はどうなってるの?
  19. 19. Copyright ©2016 JPCERT/CC All rights reserved. CVE 管理の仕組み 18 CVE: Common Vulnerabilities and Exposures ⽶国 MITRE が管理運営 割り当ては CNA(CVE Numbering Authority) から MITRE 以外にソフトウェア開発ベンダや CSIRT(CERT/CC, JPCERT/CC) などが CNA と して割り当てを⾏っている 参考: https://cve.mitre.org/cve/cna.html#participating_cnas
  20. 20. Copyright ©2016 JPCERT/CC All rights reserved. 参考: oss-security メーリングリスト 19 オープンソース製品に対する CVE 割り当てリクエストと 応答の様⼦が垣間⾒られる http://www.openwall.com/lists/oss-security/2016/09/
  21. 21. Copyright ©2016 JPCERT/CC All rights reserved. おさらい 20 脆弱性発⾒! 届出 調整 公開 Vulsで活⽤!
  22. 22. Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (最近の情報) Japan Vulnerability Notes (https://jvn.jp/) JVN iPedia (http://jvndb.jvn.jp/) 脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/) 脆弱性対策 (https://www.ipa.go.jp/security/vuln/) Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演) (http://www.slideshare.net/jpcert_securecoding/lessons- to-be-learned-from-handling-openssl-vulnerabilities) 経済産業省告⽰の改正 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik okuji.pdf) CVE: Common Vulnerabilities and Exposures (https://cve.mitre.org/) 21
  23. 23. Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (過去の経緯を知るための情報) 脆弱性関連情報取り扱い説明会 (http://www.ipa.go.jp/security/vuln/event/20040720.html) JPCERT/CC プレスリリース: 「情報セキュリティ早期警 戒パートナーシップ」の運⽤を開始 (https://www.jpcert.or.jp/press/2004/0708.txt) 経済産業省告⽰(2004年7⽉7⽇) (http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf) JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク ショップ (2004-03-09) (https://www.jpcert.or.jp/present/) 22
  24. 24. Copyright ©2016 JPCERT/CC All rights reserved. お問合せ等の連絡先はこちら 23 JPCERTコーディネーションセンター (https://www.jpcert.or.jp) 情報流通対策グループ (vultures@jpcert.or.jp) JVN: Japan Vulnerability Notes (https://jvn.jp/) お問い合わせ先とFAQ (https://jvn.jp/contact/)
  25. 25. Copyright ©2016 JPCERT/CC All rights reserved.24 Thank you!

×