[レポート]「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション

ハッカーたちの間では、セキュリティ向上のために研究を共有することの重要性が何年も前から知られていた。一方、協調して脆弱性を開示することの重要性も、世界中の政府によってますます認識されるようになってきた。情報開示とセキュリティ研究者の保護という原則は国境を越えて共通であるものの、国によって重要な違いがある。本パネルでは、重要な公共政策や企業の行動に影響を与える可能性のあるグローバルな視点を提示する。 ENISAは、2022年4月に「EUにおける脆弱性開示政策の調整」を発表した。本報告書では、EU加盟国における脆弱性開示の協調政策の現状を客観的に紹介するだけでなく、中国、日本、米国における脆弱性開示の運用を紹介している。それらを踏まえて、協調的な脆弱性開示プロセスに望ましい要素やベストプラクティスの要素を検討し、その後、課題や問題点について議論する予定。

本報告書の内容を共有し、日本における運用の課題と今後の方向性、米国における国家安全保障と脆弱性対応の課題を、各法域の代表者とのパネルディスカッションで明らかにすることを目的としています。 パネリストは、日本では早期警戒パートナーシップ通知機関の実務に携わる方々、欧州では上記報告書の執筆者、米国では上記報告書の寄稿者 日本では、脆弱性対応における体制意識、インセンティブ、未処理案件の増加、いわゆるトリアージなどの課題が紹介される予定 米国からは、国家安全保障のための脆弱性情報の開示方針（Vulnerabilities Equities Process）、脆弱性研究の不起訴方針の公表などを紹介するとともに、この問題の歴史的背景を紹介する。

パネルディスカッションを通じて、脆弱性開示政策を取り巻く国際情勢や今後の動向、特にサイバーセキュリティにおける脆弱性の重要な役割とそれを取り巻く社会が抱える課題について参加者に理解していただくことを目的とする。

Presented by : 高橋 郁夫 - Ikuo Takahashi アラン・フリードマン - Allan Friedman ロレンツォ・プピロ - Lorenzo Pupillo 板橋 博之 - Hiroyuki Itabashi

レポート

• 高橋氏
•  脆弱性とは
  • 日本の場合は早期警戒パートナーシップの中で定義されている
    • 安全性の問題箇所
  • ISOでも定義されている
  • どんな問題があるか
    • サイバー上の脅威
    • 脅威の燃料
  • 誰のオポチュニティになるか
    • 犯罪者
    • 国家
    • 政府が直接関わることもある
• 脆弱性が発見されたらどのようにするのか
  • 完全に開示する必要がある、という考え方
    • 犯罪者も把握しているので知る必要がある
  • しかし完全な開示は中途半端な専門家に悪用される
    • 責任ある開示が必要
  • 20年以上前から議論がある
  • 枠組みが日本/欧州/アメリカでも行われている
  • しかし未だに脆弱性開示の枠組みは難しい
  • 実際に実務に携わっている方に参加していただき議論するのが今回の動機
• ロレンツォ氏
  • CEPSでリサーチフェローをしている
  • ヨーロッパでの脆弱性のポリシーを話し合っている
  • 当初は脆弱性開示ポリシーを持っていたのは2カ国だけ
  • ENISAで行ってきた研究について
    • 情報開示の現状
      • 当初フランスとオランダのみCVDを整備していた
        • オランダは開示の条件もあった
        • フランスでは研究者は保護されていた
      • 2018年に4カ国がCVDポリシーを整備
        • 10カ国が実施の途上
      • 進んでいる加盟国もあれば遅れているところもある
    • 調査結果
      • OECD
      • ライフサイクルのどこが重要か
        • 取り扱いと管理が重要だという回答が多い
        • 開示は重要性が低いと考えられていた
      • グッドプラクティスはどこが重要か
        • Proportionality
        • どこからアクセスできるか
        • 秘密保持
        • 報奨金
      • グッドプラクティスの興味深い要素
        • ISO/IEC 2914741
        • ISO/IEC 3011142
        • ボトムアップ・アプローチ
        • ベンダーとの会話
        • 情報の遮断
      • サーベイの他の特徴
        • CERTがやるべき
          • 省庁の関与については少なかった
        • ツール
        • 意識啓発
        • 若い世代にどう役割を果たすのか
      • 問題
        • 大きな問題は法的な障壁
        • 協調性の欠如
      • 法的な課題
        • 刑事法
        • 著作権
        • 契約法など
        • 重要なのは刑法
      • 他の課題
        • マーケットインセンティブ
        • アクティビスト
        • CVDポリシーの運用コスト
        • トップダウンとボトムアップ
        • 政府はCVDポリシーの実現
  • 2つの質問
    • どの条件のもとで脆弱性の発見が犯罪刑法に関連するか
    • 訴追されるために満たされる条件はなにか
• 板橋氏
  • IPAの早期警戒パートナーシップに10年くらい携わっている
  • パートナーシップとはなにか
    • 経済産業省の告示に基づいて実施
      • 脆弱性関連情報を取り扱う
      • 情報の適切な流通を扱う
    • JPCERT/CCや有識者と連携して設計
    • 毎年専門家を招集して運用上の課題を議論している
    • 運営ガイドライン
      • 関係者に推奨する行為
      • IPAが受付
      • JPCERT/CCが調整
    • 適用範囲
      • 脆弱性により不特定多数の人々に影響を及ぼすもの
      • 国内で利用されるソフトウェアが対象
      • Webサイトは国内からアクセスできるもの
    • 発見者
      • 名前をJVNに公表
  • 運用状況
    • トータル1万7千件
    • 公表件数は直近四半期は24件
    • 全届け出5157で2417件終わり
    • 半分が修正されていない
    • Webは86%修正
    • スマートフォンアプリの報告も増えている
    • 手法はXSSが58%
    • インパクトは偽情報の表示57%
  • 課題
    • ソフトウェア
      • 脆弱性対応に時間がかかる
      • 連絡しても製品開発側でかかる
      • 連絡がとれなくなる
      • 国内の問題だけではないが公表に否定的
    • Web
      • 連絡先がないため時間がかかる
      • 対応に時間がかかる
  • 対策
    • ソフトウェア
      • 前向きな開発者を評価するのはどうか
      • 制度として評価
    • Web
      • 連絡先追加の啓蒙
      • 資料の配布
• アラン氏
  • CVDについてのアメリカの政策について
  • ディスクロージャー
  • ハッカーと企業を同じ部屋に集めてコラボレーションしようと話した
  • 今はCVDは危険なテーマでは無くなった
  • アメリカの政策はCVDを受け入れている
  • 今議論しているのは障壁を低くして受け入れようとしている
  • 法律は変わってないが解釈が変わっている
  • 有利な解釈になっている
  • 司法省はガイダンスを出している
  • 善意によるディスクロージャーを起訴しては行けないとガイダンスしている
  • 著作権法では適用除外が拡大している
  • エコシステムで簡単になる
    • CVE
    • 製品に関する脆弱性
    • もっと沢山の人がCVEをアサインできるようにしていこう
    • 中央機関を通す必要がない
    • ベンダーやオープンソースがCNA
    • 日本は9のCNA
  • CNAになるための方法
    • JPCERTなどに連絡
    • 登録したらトレーニング

パネル

• 法的な課題
• 日本でも頑張っている
  • 2017年P2Pのネットワークについて調査していた人が逮捕された
  • 日本の法執行を考える
  • ガイドラインには法的な観点からの解説が書いてある
  • 2004年に解説書も公開している
    • 3年前に改定
  • リバースエンジニアリング
    • 著作権法に違反する懸念があると言われていた
    • 改正してセキュリティ目的のリバースエンジニアリングは日本的なフェアユースのように適法であることが確実になった
  • サイバー犯罪
    • IPAから派遣
    • これからレベルが上っていくはず
• どのようにして開発者の脆弱性の報告に対して紳士な態度を確保するか
  • ロレンツォ氏
    • EUでは欧州委員会でやっていることだが、ブタペスト条約においてCVDのポリシーを実行することができる
    • CVDをWebに掲載できる
  • アラン氏
    • 重要だと思うのは区別すること
    • 知らないでやっているのか、知っているのか
    • 助ける、1回目をうまく行かせる
    • アクションを取りたいと思わせる
    • インセンティブは必要
    • 改善がなければ介入が必要
    • マルチパーティの問題
    • 例えばLog4Jの場合
      • しっかりとしたコミュニケーションが必要
    • 自動化されたコーディネーションのツールを使う
  • 板橋氏
    • 脆弱性を発見した人が直接連絡するとハッカーなの？となる
    • 公的機関が間に入ることで流通を促すことができる
    • PSIRTをつくって直接連絡を受けるような組織も出てきている
• 政府のサービスをセキュアにすることも問題
  • アラン氏
    • セキュアなソフトウェアを作ることは非常に難しい
    • 民間以上にうまくやることは難しい
    • すべての政府機関はディスクロージャーポリシーを持たなければいけない
    • アメリカ政府はバグバウンティをやっている
    • 4年前から
    • ハックザペンタゴンもやっている
    • ポリシーを体現している
  • ロレンツォ氏
    • リサーチャーはガイドラインに従うべき
    • ガイドラインを出している
    • サイバーレジリエンスAct
      • 厳しい要件がある
      • ディスクロージャーもある
  • 板橋氏
    • 細かいところは割愛
    • デジタル庁が所管となって各省庁に支持を出している
  • オランダ
    • 政府のページをハックするとTシャツもらえる

感想

政府のページをハックしたTシャツつよい

各国同じように悩ましい問題ですね。こういった活動はもっと啓蒙したいですね。