脆弱性情報はこうしてやってくる

脆弱性情報はこうしてやってくる

JPCERT/CC情報流通対策グループ⼾⽥洋三

2016.09.26Vuls祭り#1

Copyright ©2016 JPCERT/CC All rights reserved.

自己紹介

http://www.tomo.gr.jp/root/e9706.html

JPCERT/CC情報流通対策グループリードアナリスト戸田洋三

脆弱性情報分析, セキュアコーディング普及啓発活動……に努めてます

1


JPCERT/CCとは

JPCERT Coordination Center

日本における情報セキュリティ対策活動の向上に取り組んでいる組織

2


JPCERT/CCの主な活動

3


お話の内容

4

https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png


お話の内容

5

ここができるまでのあれこれを紹介します。

https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png


JVN とは?

6

JVN JVN.JP

Japan Vulnerability Notes

脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html


あなたの知っている JVN はどっち?

7

https://jvn.jp/

http://jvndb.jvn.jp/


あなたの知っている JVN はどっち?

8

https://jvn.jp/

http://jvndb.jvn.jp/

Vulsが参照しているのは JVN iPedia.


JVN iPedia とは?

9

JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国内外問わず公開された脆弱性対策情報を広く公開対象とし、データベースとして蓄積しています。一方、JVNでは、…早期警戒パートナーシップで取扱われた脆弱性関連情報や、協力関係を結んでいる海外のCERT等からの脆弱性対策情報を掲載しています。

http://jvndb.jvn.jp/nav/jvndb.html

脆弱性対策情報が公表されてから一週間程度を目安に公開しています。

JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国NISTが運営するNVDおよび国内ベンダから情報収集しています。


つまり、こーいうこと: JVNとiPediaの役割分担

10

JVNiPedia

JVN ベンダとの調整の結果、公開に⾄った脆弱性情報を迅速に掲載。

基本的には JVN と NVD のデータをもとに構成。データの蓄積と検索機能を重視。


つまり、こーいうこと: 情報の流れ

11

CVE(MITRE)

JVNiPedia

JVN

NVD(NIST)

………………


⽇本国内の情報流通体制 (その1)

12

•経済産業省告⽰•情報セキュリティ早期警戒パートナーシップ



13

•経済産業省告⽰

http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html

ソフトウエア等脆弱性関連情報取扱基準(2004年7⽉制定)

http://www.meti.go.jp/policy/netsecurity/vulinfo.html


受付機関と調整機関

14

受付機関: IPAIPA セキュリティセンター調整機関: JPCERT/CCJPCERT/CC 情報流通対策グループ



15

•情報セキュリティ早期警戒パートナーシップ

IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒パートナーシップガイドライン」を公表(2004年7⽉)

参考: https://www.jpcert.or.jp/press/2004/0708.txt


届出⇒調整⇒公開

16

https://www.jpcert.or.jp/vh/fig1.gif

Copyright ©2016 JPCERT/CC All rights reserved.17

CVE はどうなってるの?


CVE 管理の仕組み

18

CVE: Common Vulnerabilities and Exposures⽶国 MITRE が管理運営割り当ては CNA(CVE Numbering Authority)から

MITRE 以外にソフトウェア開発ベンダやCSIRT(CERT/CC, JPCERT/CC) などが CNA として割り当てを⾏っている参考: https://cve.mitre.org/cve/cna.html#participating_cnas


参考: oss-security メーリングリスト

19

オープンソース製品に対する CVE 割り当てリクエストと応答の様⼦が垣間⾒られる

http://www.openwall.com/lists/oss-security/2016/09/


おさらい

20

脆弱性発⾒!届出

調整

公開

Vulsで活⽤!


参考情報 (最近の情報)Japan Vulnerability Notes (https://jvn.jp/)

JVN iPedia (http://jvndb.jvn.jp/)脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/)

脆弱性対策 (https://www.ipa.go.jp/security/vuln/)

Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演)(http://www.slideshare.net/jpcert_securecoding/lessons-to-be-learned-from-handling-openssl-vulnerabilities)経済産業省告⽰の改正(http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseikokuji.pdf)

CVE: Common Vulnerabilities and Exposures(https://cve.mitre.org/)

21


参考情報 (過去の経緯を知るための情報)脆弱性関連情報取り扱い説明会(http://www.ipa.go.jp/security/vuln/event/20040720.html)

JPCERT/CC プレスリリース: 「情報セキュリティ早期警戒パートナーシップ」の運⽤を開始(https://www.jpcert.or.jp/press/2004/0708.txt)経済産業省告⽰(2004年7⽉7⽇)(http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf)

JPCERT/CC・CERT/CC脆弱性情報ハンドリングワークショップ (2004-03-09) (https://www.jpcert.or.jp/present/)

22


お問合せ等の連絡先はこちら

23

JPCERTコーディネーションセンター(https://www.jpcert.or.jp)

情報流通対策グループ([email protected])

JVN: Japan Vulnerability Notes(https://jvn.jp/)お問い合わせ先とFAQ(https://jvn.jp/contact/)

Copyright ©2016 JPCERT/CC All rights reserved.24

Thank you!

Internet

脆弱性情報はこうしてやってくる