PSIRT Service Framework のご紹介

Transcript

1. PSIRT Service Framework のご紹介 Akitsugu Ito（@springmoon6） 1

2. 自己紹介 • Akitsugu Ito（@springmoon6） • OWASP 関連のスライド Management for Security

   Life Cycle https://speakerdeck.com/owaspjapan/management-for-security-life- cycle-number-appsecapac2014 OWASP Project 使ってみた https://www.slideshare.net/akitsuguito/owasp-project OWASP SAMM の活用 https://speakerdeck.com/owaspjapan/owt2017jp-owasp-samm 2

3. PSIRT 組織が提供する製品の脆弱性に起因する リスクに対応するための組織内機能 （ Product Security Incident Response Team） https://www.panasonic.com/global/corporate/

   product-security/sec/psirt/jp.html https://www.first.org/members/teams/sony_psirt Sony PSIRT http://blog.cybozu.io/entry/2017/10/28/080000 Cy-PSIRT 3

4. PSIRT Service Framework PSIRT が提供するサービス（≒役務）をまとめた文書 原文（リリース版） 日本語抄訳 （Draft版：PDF） FIRST PSIRT

   Framework https://www.jpcert.or.jp/research/psirtSF.html 4

5. 文書構成 5 Service Area Service Service Service Function Function Function

   Function General PSIRT Activity 特にこれから PSIRT を立ち上げる組織では General PSIRT Activity を整理することが重要 Service が有効に機能しているかを モニタリングするための指標例が掲載

6. General PSIRT Activity 6 Strategic （戦略） • A. Executive Sponsorship

   （経営層の支援） • B. Stakeholders （ステークホルダ） • C. PSIRT Charter （PSIRT 憲章） • D. Organizational Model （組織モデル） • E. Management and Stakeholder Support （マネジメントとステークホルダの支援） Tactical （戦術） • A. Budget （予算） • B. Staff （スタッフ） • C. Resources and Tools （リソースとツール） Operational （運用） • A. Policies and Procedures （ポリシーや手順） • B. Evaluation and Improvements （評価と改善）

7. PSIRT Charter （PSIRT 憲章） 7 • 組織のミッションとの整合性を取る ミッションを定義 • 他のステークホルダとの関係性を明確にする

   目的・役割と責任の定義 • 提供しないサービスを明確にする 対象製品とサービスの定義

8. CSIRT と PSIRT の関係性 8 • Cybozu,Inc. Product Security Incident

   Response Team • 製品に関する脆弱性情報を取り扱うチーム Cy-PSIRT • Cybozu,Inc. Computer Security Incident Response Team • インシデント対応を行うチーム Cy-SIRT CSIRT は PSIRT にとって固有の要件を持つステークホルダ CSIRT のサービス範囲と PSIRT のサービス範囲の住み分けや 協働して提供するサービスを明記しておく

9. サービスの定義 9 「Cybozu Meetup #7 セキュリティ」開催報告 http://blog.cybozu.io/entry/2017/10/28/080000

10. ６つの Service Area 10

11. ステークホルダ管理 11 Stakeholder Management 内部ステークホルダ の管理 発見者コミュニティ との交流 コミュニティと組織 との交流

    下流ステークホルダ の管理 組織内インシデント に関するコミュニ ケーション 表彰と謝辞による 発見者への報酬 PSIRT の PoC が提供するサービス対象を体系化 （Point of Contact）

12. External Stakeholders 12 Upstream Stakeholders Downstream Stakeholders Stakeholder Management

13. Upstream Stakeholders 13 Upstream Stakeholders Stakeholder Management Stakeholder の 把握

    連絡チャネルの 確立 積極的なコミュニ ティへの参加

14. Downstream Stakeholders 14 製品ライフサイクル ポリシーの提供 サポートポリシー の提供 Stakeholder Management Downstream

    Stakeholders

15. Vulnerability Management 15 Vulnerability Discovery Vulnerability Triage Vulnerability Disclosure Vulnerability

    Remediation ISO/IEC 29147 Vulnerability disclosure ISO/IEC 30111 Vulnerability handling

16. 脆弱性の発見 16 脆弱性報告の受付 報告されない 脆弱性情報の特定 製品で利用する コンポーネントの 脆弱性モニタリング 脆弱性の特定 （脆弱性診断）

    Vulnerability Discovery 受動・能動的に脆弱性情報を収集する

17. メトリクスの例 17 Vulnerability Discovery • 発見された脆弱性と検証された脆弱性の総数 • 認定されたサードパーティ製コンポーネントの脆弱性総数 • CWE

    に落とし込まれた検証済みの脆弱性の総数 • 脆弱性発見のアプローチ毎に細分化された、発見された脆弱 性の総数 • ソース毎に細分化された、発見された脆弱性の総数 運用レポート • オンタイム応答率 • PSIRT のコミュニケーションチャネルのダウンタイムの合計 • トリアージまでの時間 • フルディスクロージャ、外部から攻撃された脆弱性、メディアに よって 特定された脆弱性の数 ビジネスレポート

18. 脆弱性情報のトリアージと分析 18 脆弱性の認定 発見者との 関係構築 脆弱性の再現 PSIRT における案件管理プロセスの開始 関係があるエンジニアリングチームとの 連絡プロセスを確立する

    Vulnerability Triage

19. 対策 19 セキュリティパッチ リリースマネジメント 対策 インシデント ハンドリング Vulnerability Remediation 脆弱性を改修する

    製品に起因するインシデントが発生した 場合には、事故対応を行う

20. 脆弱性の開示 20 Vulnerability Disclosure 通知 コーディネーション 情報開示 発見者・社内外のステークホルダと協調して 透明性の高い情報公開を行う

21. トレーニングと教育 21 Training & Education PSIRT メンバの トレーニング 開発チームの トレーニング

    診断チームの トレーニング 全てのステークホル ダへの継続的教育 フィードバック機能 の提供 ステークホルダのニーズに応じて 継続的な教育プログラムを提供する

22. Internal stakeholder 22 Training & Education 製品サポート 経営層 営業 マーケティング

    コンプライアンス 法務 広報

23. まとめ 23

24. PSIRT Service Framework のご紹介 • PSIRT が提供するサービスをまとめた文書 • ステークホルダ管理 •

    脆弱性ハンドリング • トレーニングと教育 PSIRT Service Framework • まずは General PSIRT Activity から整える • 各サービスのメトリクスを定義し、継続的に改善する 活用にあたって 24 http://blog.cybozu.io/entry/2018/07/18/080000