海の向こうの“セキュリティ”
CSIRTが提供するサービスをまとめた一覧がメジャーバージョンアップ
「FIRST CSIRT Framework Version 2.0」公開 ほか
2019年9月5日 06:00
「FIRST CSIRT Framework Version 2.0」公開
本連載の2018年1月の記事で紹介した「FIRST CSIRT Services Framework」のバージョン2.0が7月に公開されました。これは、CSIRT(シーサート:Computer Security Incident Response Team)の国際的なコミュニティであるFIRST(Forum of Incident Response and Security Teams)のEducation Advisory Boardがまとめた「CSIRTが提供するサービス(≒役務)の一覧」です。当然ながら、ここに挙げられているサービスの全てをCSIRTとして提供しなければならないわけではなく、状況に応じて取捨選択すればよいということに注意してください。
バージョン2.0は、前回紹介したバージョン1.1(2019年4月末に1.1.1にマイナーバージョンアップ)から大きく変わっています。まず、バージョン1.1では以下の図のような構成となっていましたが、この中にあるCSIRTがサービスを適切に提供するために必要なCSIRT内部の活動である「Internal activities」がバージョン2.0ではメインのフレームワークに組み込まれるかたちでなくなっています。
今回のこのような変更は、自社製品の脆弱性に対応する、いわゆる「PSIRT(Product Security Incident Response Teams)」のサービス一覧である「FIRST PSIRT Services Framework Version 1.0」のアプローチの仕方に準じているとのことです。
- FIRST PSIRT Services Framework Version 1.0
- FIRST PSIRT Services Framework Version 1.0(PDF版)
- FIRST PSIRT Services Framework Version 1.0(日本語抄訳PDF版)
また、バージョン1.1では
SERVICE AREAS → SERVICES → FUNCTIONS
という構成だったものが、バージョン2.0では
SERVICE AREAS → SERVICES → FUNCTIONS → SUB-FUNCTIONS
となっています。さらに最も大きな分類である「Service Area」も全面的に変更されています。まず、バージョン1.1では以下の7つに分けられていました。
- Incident Management
- Analysis
- Information Assurance
- Situational Awareness
- Outreach/Communications
- Capability Development
- Research And Development
一方、バージョン2.0では以下の5つにまとめられています。
- Information Security Event Management
- Information Security Incident Management
- Vulnerability Management
- Situational Awareness
- Knowledge Transfer
以降では、これら5つの「Service Area」に分類される個々の「Service」と、それを実現するための「Function」を簡単に紹介します。「Sub-Function」については少々細かくなりすぎるのでここでは割愛します。詳細については原文を参照してください。
Service Area: Information Security Event Management
インシデントの検知や分析、およびそれに基づくトリアージや、次の「Service Area」である「Information Security Incident Management」へのエスカレーションなど。組織によっては全てまたは一部を「SOC(Security Operations Center)」に割り当てている場合もあります。
- Service: Monitoring and detection
- Function: Log and sensor management
- Function: Detection use case management
- Function: Contextual data management - Service: Analyzing
- Function: Correlation
- Function: Qualification
Service Area: Information Security Incident Management
前の「Service Area」である「Information Security Event Management」からのエスカレーションを受けての事後対応としてのインシデント対応全般。
なお、「Incident Management」という用語は、これまで「事前の備えを含めた、CSIRTが何らかのかたちで関わる対象範囲全般」を指していましたが、「FIRST CSIRT Services Framework」では前回のバージョン1.1に引き続き、今回も事後対応という狭い範囲のみを指すものとして使われていることに注意が必要です。
- Service: Accepting information security incident reports
- Function: Information security incident report receipt
- Function: Information security incident report triage and processing - Service: Analyzing information security incidents
- Function: Information security incident triage (prioritization and categorization)
- Function: Information collection
- Function: Coordinate any more detailed analysis
- Function: Information security incident root cause analysis
- Function: Cross-incident correlation - Service: Analyzing artefacts and forensic evidence
- Function: Media or surface analysis
- Function: Reverse engineering
- Function: Run time and/or dynamic analysis
- Function: Comparative analysis - Service: Mitigation and recovery
- Function: Establishing a response plan
- Function: Applying ad-hoc measures and containment
- Function: Returning all systems back to normal operation
- Function: Supporting other information security entities - Service: Information Security Incident Coordination
- Function: Communication
- Function: Sending notifications
- Function: Distributing relevant information
- Function: Coordinating activities
- Function: Reporting
- Function: Communicating with the media - Service: Supporting crisis management
- Function: Distributing information to constituents
- Function: Reporting on cyber security status
- Function: Communicating strategic decisions
Service Area: Vulnerability Management
脆弱性の発見や分析、取り扱いなどの対応全般。
- Service: Vulnerability discovery / research
- Function: Vulnerability discovery based on information security incident management
- Function: Vulnerability discovery via public sources
- Function: Vulnerability research - Service: Vulnerability report intake
- Function: Vulnerability report receipt
- Function: Vulnerability report triage and processing - Service: Vulnerability analysis
- Function: Vulnerability triage (prioritization and categorization)
- Function: Vulnerability root cause analysis
- Function: Vulnerability remediation development - Service: Vulnerability coordination
- Function: Vulnerability notification/reporting
- Function: Vulnerability stakeholder coordination - Service: Vulnerability disclosure
- Function: Maintain vulnerability disclosure policy and infrastructure
- Function: Vulnerability announcement/communication/dissemination
- Function: Post vulnerability disclosure feedback - Service: Vulnerability response
- Function: Vulnerability detection
- Function: Vulnerability remediation
Service Area: Situational Awareness
情報収集や分析、それに基づくconstituency(サービス対象者)とのコミュニケーションなど。
- Service: Data acquisition
- Function: Policy aggregation, distillation, and guidance
- Function: Mappings of assets to functions, roles, actions and key risks
- Function: Collection
- Function: Data processing and preparation - Service: Analyze and interpret
- Function: Projection and inference
- Function: Event detection (through alerting or hunting)
- Function: Information security incident management decision support
- Function: Situational impact - Service: Communication
- Function: Communication
- Function: Reporting and recommendations
- Function: Implementation
- Function: Dissemination / integration / information sharing
- Function: Managing the sharing of information
- Function: Feedback
Service Area: Knowledge Transfer
教育や啓発、演習、アドバイスなど。
- Service: Awareness building
- Function: Research and information aggregation
- Function: Development of reports and awareness materials
- Function: Dissemination of information
- Function: Outreach - Service: Training and education
- Function: Knowledge, skill, and ability requirements gathering
- Function: Development of educational and training materials
- Function: Delivery of content
- Function: Mentoring
- Function: CSIRT staff professional development - Service: Exercises
- Function: Requirements analysis
- Function: Format and environment development
- Function: Scenario development
- Function: Executing exercises
- Function: Exercise outcome review - Service: Technical and policy advisory
- Function: Risk management support
- Function: Business continuity and disaster recovery planning support
- Function: Policy support
- Function: Technical advice
以前のバージョン1.1は、分類の粒度や体裁など、いくつかの点で完成度に難があり、改善の必要があったことは確かなのですが、それにしてもバージョン2.0でここまで大きく変更されるとは予想外でした。この変更に少々戸惑う方もいるでしょうが、全体としては以前に比べて実際のCSIRTの業務に合わせたシンプルな構成になっていますので、むしろ分かりやすくなったように思います。CSIRTに関わる人であれば一度は目を通しておくことをお勧めします。
URL
- 海の向こうの“セキュリティ”(2018年1月5日付記事)
現代のCSIRTが提供するサービスをまとめた一覧「FIRST CSIRT Framework Version 1.1」 - https://internet.watch.impress.co.jp/docs/column/security/1099603.html
「VLC media player」の脆弱性誤報事件で最も深刻だったこと
7月にドイツの政府系National CSIRTであるCERT-Bundは、世界中で広く使われている動画プレーヤー「VLC media player」に未修正の致命的な脆弱性があると発表しました。この脆弱性をMITREは「CVE-2019-13615」として登録、米国立標準技術研究所(NIST:National Institute of Standards and Technology)による脆弱性情報データベースNVD(National Vulnerability Database)はCVSS基本値を極めて深刻度の高い9.8と採点しました。これにより、世界中の多くのIT系メディアが大々的に報道し、中には「修正版がリリースされるまではアンインストールすべき」とまで報じるメディアもありました。ところがその後、開発元の仏VideoLAN Projectは、情報が不正確であり、実質的に誤報であると発表したのです。
一連の経緯の詳細については、すでに日本語の記事も公開されていますので、そちらを参照していただくとして、今回の「事件」で最も深刻なのは、脆弱性の発見者(報告者)であるCERT-Bundも、CVE番号を割り当てたMITREも、開発元のVideoLANに脆弱性の詳細について確認せずに公表してしまったという点です。この点についてVideoLANはTwitterにおいて、今回の件に限らず、MITREから連絡を受けたことはこれまで一度もないとしています。
This is not the first time that@MITREcorpdoes that.
— VideoLAN (@videolan)2019年7月24日
In fact, they NEVER EVER contact us when they find security issues on VLC, and we always discover that after they are public, when a user or a distribution asks us.
ちなみに、VideoLANは公式ウェブサイトにおいてさ、まざまな問い合わせに対応できるように連絡受付窓口を公開しています。
日本においては、2004年7月から運用されている「情報セキュリティ早期警戒パートナーシップ」によって、脆弱性情報は、調整機関であるJPCERT/CCが開発元と調整した上でパッチなどの修正(または回避)方法と同時に一般公開されることになっています。また、国際的にも開発元と何らかのかたちで調整しながら脆弱性情報を取り扱うことは長年にわたって事実上の「常識」になっていたはずでした。ところが、MITREがこのような対応をしていたことは驚きですし、CERT-Bundという「ドイツのNational CSIRT」ですら、ここまで致命的に誤った対応をしてしまったことは本当に残念でなりません。
とにかく、今回の件は脆弱性情報の取り扱いに関する「信頼」を大きく損なう出来事であり、何らかの国際的な枠組みの必要性を改めて示したものと言えるでしょう。
また、大手のソフトウェアベンダーなどと同様にVideLANもCNA(CVE Numbering Authorities:CVE採番機関)になろうと過去に少なくとも2回申請したものの、組織が小さいとして断られたとしており、CNAのありようについても今一度、国際的な議論が必要かもしれません。
We asked to be CNA at least twice and were told we were ??too small??
— VideoLAN (@videolan)2019年7月24日
なお、VideoLANはあらためてCNAになるための手続きを進めてみるとしています。
As some of you suggested, we are going to try the process to become our own CNA for VLC (and maybe some other multimedia libraries).
— VideoLAN (@videolan)2019年7月26日
This should avoid issues like the one we just had.#cve#infosec
URL
- 窓の杜(2019年7月25日付記事)
一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ~VideoLANが声明 - https://forest.watch.impress.co.jp/docs/news/1197998.html
- やじうまWatch(2019年7月25日付記事)
動画プレーヤー「VLC」に深刻な脆弱性? 開発チームは修正済みと否定 - https://internet.watch.impress.co.jp/docs/yajiuma/1197971.html
- 情報処理推進機構(IPA)
情報セキュリティ早期警戒パートナーシップガイドライン - https://www.ipa.go.jp/security/ciadr/partnership_guide.html
- 海の向こうの“セキュリティ(2018年2月2日付記事)
CVE採番機関CNA(CVE Numbering Authority)の今 - https://internet.watch.impress.co.jp/docs/column/security/1104483.html
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。