[レポート][日本電気株式会社]NECのPSIRT活動のご紹介 – CODE BLUE 2022 #codeblue_jp

[レポート][日本電気株式会社]NECのPSIRT活動のご紹介 – CODE BLUE 2022 #codeblue_jp

CODE BLUE 2022 のセッション「[日本電気株式会社]NECのPSIRT活動のご紹介」のレポートです。
Clock Icon2022.10.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

CODE BLUE 2022 で行われた下記セッションのレポートです。

セッション概要

タイトル

[日本電気株式会社]NECのPSIRT活動のご紹介

概要

NECでは、2004年に経済産業省から告示された「ソフトウエア等脆弱性関連情報取扱基準」や社会的な情勢から、同年PSIRTを設置し、約18年間活動を続けてきました。独自の脆弱性情報管理システムなどの設計や運用もその後始まり、現在も それらのシステムの改良を続けながら活動を行っています。近年では、2020年FIRST加盟、2021年CNA認定による自社グループ製品のCVE付与開始といった体外活動の拡大も実施しました。本セッションでは、NECにおけるPSIRT体制や利用しているシステム、グループ内外での協力関係などを紹介します。

Presented by

郡 義弘 (日本電気株式会社 サイバーセキュリティ戦略統括部 サイバーインテリジェンスグループ インテリジェンスリサーチャー)

レポート

NEC の PSIRT (Product Security Incident Response Team) の活動事例を紹介するセッションです。

  • NEC の PSIRT の歴史
    • 2002 年に NEC-CSIRT 発足
    • 2004 年の経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準」をきっかけに取り組みを加速
    • 2021 年に CNA 認定、CVE 付与開始
  • NEC の情報セキュリティ推進体制
    • 部署として PSIRT が存在するのではなく、機能として存在することが特徴
  • PSIRT の機能例
    • 外部組織との協力
    • 脆弱性ハンドリング
    • 社外への情報公開
    • 脆弱性情報の収集・対処
    • 社内への注意喚起
    • 脆弱性情報の受付
    • グループ企業との連携
    • など
  • 脆弱性情報収集・対処に関する活動
    • システムで脆弱性情報を収集して管理
    • 2つの脆弱性情報管理システムを用意
      • 公開脆弱性情報用
      • 非公開脆弱性情報用
    • JPCET/CC 製品開発者リスト登録の規約からシステムを 2 つに分割
      • 秘密情報の保護を確実にするため
      • 非公開脆弱性情報システムでは利用者に機密保持契約書提出などの追加措置を要求
  • 公開脆弱性情報システム
    • SE・営業、事業部で利用ソフトウェア情報を登録してもらい、脆弱性情報を配信
      • RHEL 7, Apache 2.4 など
    • 該当する脆弱性情報だけをフィルタリングして配信
    • 一部例外はあるが、システムの使用義務がある
  • 非公開脆弱性情報システム
    • まだ世に出ていない脆弱性を集中管理するシステム
    • 製品開発者が製品情報を登録
  • 脆弱性ハンドリングに関する活動
    • グループの外部窓口を PSIRT に一本化(2021 年から)
    • CNA 加盟
      • 加盟により、NEC グループ製品の CVE 割り当てが独自に可能になった
      • 脆弱性ハンドリングを自分たちで主導できるのがメリット
        • 脆弱性報告者は CVE 番号を知りたがるため、自分達ですぐに提供できるようになった
  • 外部からの報告の傾向
    • 日本語による報告と海外からの報告がある
      • 日本語による報告は IPA 経由が多い
      • IPA の届け出テンプレートが優秀
  • 脆弱性情報の社外公開に関する活動
  • 情報公開に関する温度感の違いの話
    • 製品開発担当者とセキュリティ担当者に温度感の違いがある
    • セキュリティ担当者の「公開が基本である」の感覚がまだ世間に浸透していないように感じている
    • お客様に確実にパッチをあててもらうのが大変であり、対策を模索中
  • 理想と現実のギャップの話
    • 理想は全ての脆弱性、再現性確認を PSIRT で実施
      • 全ての製品を PSIRT が管理は現実的に難しいので、製品開発担当に依頼している
    • 再現性確認に手間取り、報告者への開示期限を超えそうになり、報告者に延長を依頼したこともあった
  • 社内に対する注意喚起
    • 重要度が高いものは社内ポータルを活用
      • メールだと何が最新か分からなくなることがある
    • Log4j の対応例
      • システムの対処状況登録機能を活用
        • 非公開脆弱性情報システムの機能を活用した
  • グループ企業との連携
    • 個別に PSIRT があるグループ会社とは定期的な情報交換会を隔週で開催している
    • 窓口は NEC 側に構築
  • 今後の PSIRT 機能強化
    • 非公開脆弱性情報システムの SBOM 対応の拡大
      • 現在テクノロジーキーワードリストを使用
    • 公開脆弱性情報システムの構成情報登録の強化
      • 製品担当者の負荷が大きくなっているので、手間を削減したい
      • 出荷前に行う脆弱性スキャン結果などを取り込むような、DevOpsのような考え方を反映することを検討中

さいごに

セッションを聞いていて、セキュリティ担当者と開発者のセキュリティに対する温度感の違いはどの会社でも同じ課題があることが分かりました。今後の取り組みも気になるセッションでした。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.