[CODE BLUE 2019] PSIRTにおける「〇〇」との付き合い方 [レポート] #codeblue_jp

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

PSIRTにおける「〇〇」との付き合い方 Presented by Panasonic PSIRT

メーカーにおけるPSIRTはいろいろなモノと関わりながら活動している。 今回は複数のメーカのPSRIT担当者が集まり、日々のPSIRT活動の中で発生する 様々な「付き合い」について、パネルディスカッション形式で紹介する。

レポート

このセッションでは、IoTなどの製品を扱う企業のPSIRT 担当者によるパネルディスカッションです。

PSIRT として昨年からの振り返り

• ソフトウェアサプライチェーン攻撃の議論が活発になってきた
• NICT NOTICEの活動を開始
• CVE採番問題
  • CVEとNVDの役割関係性が正しく認知されていない事がわかった
• CVSS v3.1を公開した

昨年のテーマは

• 出荷前の製品セキュリティ、出荷後の製品セキュリティ、人材育成についてディスカッション

今年のテーマ

• テーマ１　脆弱性との付き合い方
• テーマ２　カンファレンス・コミュニティとの付き合い方

テーマ１　脆弱性との付き合い方

• 脆弱性としてPSIRTへ報告が挙がる内容
  • 内部で発見
  • 外部から報告
  • 突然ブログやメディアに公開された（0-day）
  • コンポーネントでの脆弱性が公開されたもの
  • ソフトウェアサプライチェーン攻撃の議論を中心にパネルディスカッションを進める

サプライチェーン攻撃への対応

• 今回のパネラーの企業で扱う製品では、コンポーネント単位で管理されているか？
  • 開発する上でのOSSを管理する事／ライセンスを確認することをPSIRTとして指示をしている
  • 手動と自動で管理をおこなっている。製品に対するセキュリティレベルで分けて管理している
  • 製品ごとにDBへOSSなどの情報を登録して管理している

SBOMとは？

• 分かり易く言えば、ソフトウエアの成分表である。
• SBOMそのものをユーザーから提供を求められた提供するか？SBOMの提供があれば利用するか？
  • パネラーとしては、使い易ければ使いたいを思う。

CVSSを利用しているか？

• 会場の聴講者の中でCVSSを使っているか？
  • 会場の三分の一ぐらいが手を挙げていた（100名前後の会場で）
• 会場の聴講者の中でCVSSのスコアをベースに脆弱性診断へ活かしているか？
  • ぽつりぽつりと手が上がった
• CVSSの深刻度に依存することがあるか？
  • 深刻度自体を話す事は出来ないが、でも対応スピードの濃淡をつける事はある。
  • CVSSではスコアがあらわされるので、評価基準として用いていく事ができる
  • OSSなどでCVSSが出た時には、その内容に応じて対応スピードを変えている
  • もちろん自社製品に対してCVSSが出た時にはスピーディーに対応していく
  • メディアに出なくてもCVSSとして検知されたことにはしっかり対応している
• たとえばOSSにCVSSがないか能動的に対応することはあるか？
  • チームの中にニュースをよく見ているメンバーがいるので、そこからアラートが上がる。
  • 能動的というよりは受動的な動きになる事がおおい。

CVEが採番されない脆弱性への対応

• CVEが採番されない脆弱性がある。
• Git でIssueが上がって対策されてしまう／バグとして挙がったままになるケースはどうするか？
  • これは脆弱性なのか？仕様上の限界なのか？という微妙な報告を受けたりする。
  • PSIRTとして歴史が浅いので企業なので、脆弱性か否かの判断基準は模索中である
  • 製品としての仕様なのか、脆弱性なのかを都度、判断していっている。
  • 脆弱性として報告されたものについては誠意をもって対応する。
• 内部で見つけてしまう場合もあり、それらの対応はどうしているか？
  • 内部で発見された場合には、複合的な要因が考えられて、それによって発生するリスクとしてどんなことがあるかで対応の有無をなどを判断している。
  • 開発側との相談をしながら脆弱性なのか仕様なのかの切り分けを判断している

テーマ２　カンファレンス・コミュニティとの付き合い方

• CODE BLUE
  • オープンな場でラフに話せることは有益か？
  • こういう場だからこそ聞きたい話？（企業個別な機密に係る話はできない前提）
• FIRST
  • アメリカでは活動が活発である
• 会場の聴講者の企業に、PSIRT がありますか？
  • 会場のなかで10名前後が手を挙げる（100名前後の会場）

CODE BLUE へ皆さん何をもとめて参加されてますか？

• コミュニティや人とのネットワークを重視して参加していますか？
  • 会場の四分の一ぐらいから手が挙がる
  • CODE BLUE 以外に１つ以上のコミュニティへ参加している人は参加者の過半数以上から手が挙がる

PSIRTを作るときは大変なのか？

• 実際、しんどい。
• 脆弱性とはなにか？という社内教育をしていく必要もあるし、脆弱性の受け付ける窓口を作り、発見されたときの対応ハンドリングしていくことが根付くまでがしんどい

PSIRTとして社内での意思疎通

• 事業部の中で意思疎通がしやすくすることは何かしていますか？
• 連絡会やコミュニティを作ったり、懇親会や飲み会を開くことでリラックスして情報共有できる雰囲気作りしている。

まとめ

• 技術的なことが活動のメインだが、対応するのは人なので相談してもらえれば一緒に活動していきたいので情報共有させてください。
• PSIRTを始めたばかりだが、一つずつ丁寧に対応していくことが肝要である
• サプライチェーンの中で協力していくことが大切
• こういった場で、話せない事があるけど、PSRITの中で動いている人を知ってもらって、さらに連携の輪を広げていく事の一助にしていきたい。
• PSIRTとして、IoTのセキュリティ向上に役立てていきたい。
• セキュリティのために来年もこの場に集まって情報共有のために開催していきたい。

感想

製品に対する脆弱性の対応をハンドリグする組織なのでテック寄りかと思っていたが、人の要素が多分に影響し、PSIRTの間で共通の課題が共有されていることがとても素晴らしい取り組みだと感じた。