Upload
jpcert-coordination-center
View
1.096
Download
0
Embed Size (px)
Citation preview
脆弱性情報はこうしてやってくる
JPCERT/CC情報流通対策グループ⼾⽥洋三
2016.09.26Vuls祭り#1
Copyright ©2016 JPCERT/CC All rights reserved.
自己紹介
http://www.tomo.gr.jp/root/e9706.html
JPCERT/CC情報流通対策グループリードアナリスト 戸田洋三
脆弱性情報分析, セキュアコーディング普及啓発活動……に努めてます
1
Copyright ©2016 JPCERT/CC All rights reserved.
JPCERT/CCとは
JPCERT Coordination Center
日本における情報セキュリティ対策活動の向上に取り組んでいる組織
2
Copyright ©2016 JPCERT/CC All rights reserved.
JPCERT/CCの主な活動
3
Copyright ©2016 JPCERT/CC All rights reserved.
お話の内容
4
https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
Copyright ©2016 JPCERT/CC All rights reserved.
お話の内容
5
ここができるまでのあれこれを紹介します。
https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
Copyright ©2016 JPCERT/CC All rights reserved.
JVN とは?
6
JVN JVN.JP
Japan Vulnerability Notes
脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
Copyright ©2016 JPCERT/CC All rights reserved.
あなたの知っている JVN はどっち?
7
https://jvn.jp/
http://jvndb.jvn.jp/
Copyright ©2016 JPCERT/CC All rights reserved.
あなたの知っている JVN はどっち?
8
https://jvn.jp/
http://jvndb.jvn.jp/
Vulsが参照しているのは JVN iPedia.
Copyright ©2016 JPCERT/CC All rights reserved.
JVN iPedia とは?
9
JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国内外問わず公開された脆弱性対策情報を広く公開対象とし、データベースとして蓄積しています。一方、JVNでは、…早期警戒パートナーシップで取扱われた脆弱性関連情報や、協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載しています。
http://jvndb.jvn.jp/nav/jvndb.html
脆弱性対策情報が公表されてから一週間程度を目安に公開しています。
JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国NISTが運営するNVDおよび国内ベンダから情報収集しています。
Copyright ©2016 JPCERT/CC All rights reserved.
つまり、こーいうこと: JVNとiPediaの役割分担
10
JVNiPedia
JVN ベンダとの調整の結果、公開に⾄った脆弱性情報を迅速に掲載。
基本的には JVN と NVD のデータをもとに構成。データの蓄積と検索機能を重視。
Copyright ©2016 JPCERT/CC All rights reserved.
つまり、こーいうこと: 情報の流れ
11
CVE(MITRE)
JVNiPedia
JVN
NVD(NIST)
………………
Copyright ©2016 JPCERT/CC All rights reserved.
⽇本国内の情報流通体制 (その1)
12
•経済産業省告⽰•情報セキュリティ早期警戒パートナーシップ
Copyright ©2016 JPCERT/CC All rights reserved.
⽇本国内の情報流通体制 (その1)
13
•経済産業省告⽰
http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html
ソフトウエア等脆弱性関連情報取扱基準(2004年7⽉制定)
http://www.meti.go.jp/policy/netsecurity/vulinfo.html
Copyright ©2016 JPCERT/CC All rights reserved.
受付機関と調整機関
14
受付機関: IPAIPA セキュリティセンター調整機関: JPCERT/CCJPCERT/CC 情報流通対策グループ
Copyright ©2016 JPCERT/CC All rights reserved.
⽇本国内の情報流通体制 (その2)
15
•情報セキュリティ早期警戒パートナーシップ
IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒パートナーシップガイドライン」を公表(2004年7⽉)
参考: https://www.jpcert.or.jp/press/2004/0708.txt
Copyright ©2016 JPCERT/CC All rights reserved.
届出⇒調整⇒公開
16
https://www.jpcert.or.jp/vh/fig1.gif
Copyright ©2016 JPCERT/CC All rights reserved.17
CVE はどうなってるの?
Copyright ©2016 JPCERT/CC All rights reserved.
CVE 管理の仕組み
18
CVE: Common Vulnerabilities and Exposures⽶国 MITRE が管理運営割り当ては CNA(CVE Numbering Authority)から
MITRE 以外にソフトウェア開発ベンダやCSIRT(CERT/CC, JPCERT/CC) などが CNA として割り当てを⾏っている参考: https://cve.mitre.org/cve/cna.html#participating_cnas
Copyright ©2016 JPCERT/CC All rights reserved.
参考: oss-security メーリングリスト
19
オープンソース製品に対する CVE 割り当てリクエストと応答の様⼦が垣間⾒られる
http://www.openwall.com/lists/oss-security/2016/09/
Copyright ©2016 JPCERT/CC All rights reserved.
おさらい
20
脆弱性発⾒!届出
調整
公開
Vulsで活⽤!
Copyright ©2016 JPCERT/CC All rights reserved.
参考情報 (最近の情報)Japan Vulnerability Notes (https://jvn.jp/)
JVN iPedia (http://jvndb.jvn.jp/)脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/)
脆弱性対策 (https://www.ipa.go.jp/security/vuln/)
Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演)(http://www.slideshare.net/jpcert_securecoding/lessons-to-be-learned-from-handling-openssl-vulnerabilities)経済産業省告⽰の改正(http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseikokuji.pdf)
CVE: Common Vulnerabilities and Exposures(https://cve.mitre.org/)
21
Copyright ©2016 JPCERT/CC All rights reserved.
参考情報 (過去の経緯を知るための情報)脆弱性関連情報取り扱い説明会(http://www.ipa.go.jp/security/vuln/event/20040720.html)
JPCERT/CC プレスリリース: 「情報セキュリティ早期警戒パートナーシップ」の運⽤を開始(https://www.jpcert.or.jp/press/2004/0708.txt)経済産業省告⽰(2004年7⽉7⽇)(http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf)
JPCERT/CC・CERT/CC脆弱性情報ハンドリングワークショップ (2004-03-09) (https://www.jpcert.or.jp/present/)
22
Copyright ©2016 JPCERT/CC All rights reserved.
お問合せ等の連絡先はこちら
23
JPCERTコーディネーションセンター(https://www.jpcert.or.jp)
情報流通対策グループ([email protected])
JVN: Japan Vulnerability Notes(https://jvn.jp/)お問い合わせ先とFAQ(https://jvn.jp/contact/)
Copyright ©2016 JPCERT/CC All rights reserved.24
Thank you!