海の向こうの“セキュリティ”

「PSIRT」の認知度の低さが浮き彫りに

EUにおけるPSIRTの実態に関する調査結果をENISAが公開

EUにおけるPSIRTの現状と課題

 欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)はEUにおけるPSIRT(Product Security Incident Response Team)の実態に関する調査結果を「PSIRT Expertise and Capabilities Development」として公開しました。調査対象はEU域内のエネルギー分野とヘルス分野のCSIRT(Computer Security Incident Response Team)とPSIRTで、EU加盟18カ国の7つのPSIRTと22のCSIRTから回答を得ています。なお、PSIRTの数が少なめなため、分析対象としては他の分野のCSIRTなども含まれています。また、調査によって得られた内容はエネルギー分野やヘルス分野以外でも、また、EU域外でも十分に参考になるものとなっています。

 ここでPSIRTとは、自社製品の脆弱性に対して修正パッチを作成するなどの対応を行なうセキュリティチームのことであり、CSIRTの一種または機能の1つですが、近年ではCSIRTとは別に独立した専門のチームとして運用されるケースも増えてきています。

 今回の調査で明らかになった重要なポイントとして、まず、PSIRTの認知度の低さが挙げられています。脆弱性に対応する上で外部の発見者からの報告(通報)を受け付けるのは最も重要な機能の1つですが、PSIRTの活動内容や連絡先が外部から見て明確でないのは致命的でしょう。また、外部からだけでなく、内部から見てもPSIRTの役割が十分に認識されていない実態も明らかになっています。

 さらに、脆弱性に適切に対応するには、PSIRTだけでなく、CSIRTや国、利用者などさまざまな関係者との間でコミュニケーションを取り、協力し合うことが重要ですが、それが難しい現状が2つ目の重要なポイントとして挙げられています。

 今回のレポートでは、これら2点の課題を含んだ主要な調査結果として12のポイントを紹介するとともに、それらに関連した9つの提言がまとめられています。なお、調査結果と提言はどちらも大きく以下の3つに分類されています。

1. 組織、プロセス、ツール
2. 協力体制
3. 開発と認知度

 12の主要な調査結果は以下の通り。

1. 組織、プロセス、ツール

1.1 調査結果1 - PSIRTの活動
 IR(インシデント対応)プロセス以外では、PSIRTの活動と製品ライフサイクルへの関与はそれぞれ異なる。

ソフトウェアのライフサイクルの各フェーズにおけるPSIRTの関与についての調査結果

1.2 調査結果2 - サードパーティ製の脆弱性管理プラットフォーム
 サードパーティ製の脆弱性管理プラットフォームの採用は一般的ではない。使っている企業は管理を容易にし、かつ可視性を向上するために使っている。

1.3 調査結果3 - KPI
 PSIRTの効率性を測定することが困難であることが判明している。ほとんどのPSIRTは基本的に脆弱性の報告件数と緩和件数で判断しているためである。

1.4 調査結果4 - スキル
 PSIRTのメンバーは、製品のセキュリティ分野における技術的なスキルと、全ての関係者の間でより円滑な交流と協力を可能にするソフトスキルの両方を持っている。

PSIRTの機能を果たすために具体的に求められるスキル

2. 協力体制
2.1 調査結果5 - NIS指令の影響
 PSIRTは、OES(Operators of Essential Services、基幹サービス運営者)に影響を与える脆弱性に対処するための具体的な手順を持っておらず、NIS指令はPSIRTの活動にあまり影響を与えていないように見える。

※ NIS指令(ネットワーク・情報システムの安全に関する指令)は、2016年に成立・施行されたもので、EU加盟各国のリスク対策やインシデントへの対処能力に関して一定の基準を定め、EU域内での情報収集と共有の仕組みを整備することを目指している。

国立国会図書館調査及び立法考査局 (2018年9月)
ネットワーク・情報システムの安全に関する指令(NIS 指令)
https://dl.ndl.go.jp/info:ndljp/pid/11152345

2.2 調査結果6 - PSIRT間の協力体制
 PSIRTはお互いに協力し合っているが、正式なコミュニケーションや情報交換の手順・基準・枠組みがないため、その協力関係は妨げられている。

2.3 調査結果7 - PSIRTとCSIRTの間の協力体制
 PSIRTと外部のCSIRT(分野/国・地域)との協力体制は、CSIRTがより定期的なコンタクトを求めているにもかかわらず、コンタクトを確立して機密情報を共有することが難しいために十分に発達していない。

PSIRTとCSIRTの連携について得られた回答

- CSIRTの55%がPSIRTとのコンタクトを持っていると回答
- PSIRTの83%がCSIRTとのコンタクトを持っていると回答

2.4 調査結果8 - 社内におけるPSIRT/CSIRTの補完関係
 PSIRTを運営しているEU企業は、ほぼ必ずCSIRTを持っているが、これらは予算、チームメンバー、スコープの点で大抵は明確に異なっている。両者の連携は強固でかつ必要に応じて効率的に行われているように見える。

3. 開発と認知度
3.1 調査結果9 - 分野別分布
 PSIRTはヘルスケアやエネルギー分野よりも産業分野やデジタル分野で多く見られる。

※ 複数の分野で事業を展開している企業のPSIRTについては、最も一般的(prevalent)な分野を選んでいる。

3.2 調査結果10 - PSIRTの活動の提示
 PSIRTのサービス提供や活動についての提示方法は標準化されていない。これは、誰に対処すべきか、どのような証拠を提供すべきか、またはどのようなコミュニケーションツールを使用すべきかを参照する標準的な文書がないため、脆弱性を報告する際の困難の原因となっている。

3.3 調査結果11 PSIRTの認知度
 PSIRTを立ち上げても社外での認知度は低いままである。中には社内の利害関係者からの認知度が低いものもある。

3.4 調査結果12 - 外部からの指導および支援
 ほとんどのPSIRTは、ENISA/EUがベストプラクティスや標準、調和のとれた認証を開発する必要性については同意しているものの、チームを設計・実施するために外部の利害関係者に特定のサポートやガイダンスを求めたり、探したりしなかった。

 上記12の調査結果を踏まえ、以下の9つの提言がなされています。

1. 組織、プロセス、ツール
1.1 提言1 - セキュリティとアジリティ(対象:セキュリティチーム、PSIRT)
 製品チームがアジャイル・アプローチを採用することは、DevOpsパイプラインに新しいツールを導入することでも、製品のセキュリティ関連サービスの内部カタログをよりグローバルに提供することでも、PSIRTとセキュリティチームがセキュリティ問題に取り組む機会となる可能性がある。

1.2 提言2 - 多くの専門分野にわたるチーム(対象:PSIRT)
 PSIRTは、アプリケーションやソフトウェア開発の専門家にセキュリティのトレーニングを受けさせ、かつセキュリティの専門家にアプリケーションやソフトウェア開発のトレーニングを受けさせることで構成される学際的な(multidisciplinary:多くの専門分野にわたる)チームを構築するよう努めるべきである。PSIRTのメンバーは目の前のセキュリティとアプリケーションの問題を技術的に理解しているだけでなく、社内外を問わず、全ての利害関係者と効果的にコミュニケーションをとり、円滑なIRプロセスを確実に実現するための優れたソフトスキルを備えている必要がある。

2. 協力体制
2.1 提言3 - 標準的な脆弱性情報の交換(対象:CSIRT、PSIRT)
 開示された脆弱性情報のIRチーム間での共有を円滑に進めるために、かつ脆弱性の量が増加し続けていることを考慮して、このプロセスを自動化するための機械読取可能な標準規格を推進すべきである。これらの情報交換は安全な通信チャネルを通じて行うべきである。

2.2 提言4 - PSIRTとOESの間のコミュニケーション(対象:OES、PSIRT)
 情報交換の質、流動性、透明性の観点から、OESとPSIRTの間にはより強いつながりが必要である。自社製品がOESで使用されているかどうかをPSIRTが知らない可能性がある点については、OESがベンダーのPSIRTから脆弱性情報を、できれば正式に公開される前に、受け取ることができるような法的および技術的枠組みの構築および実行が、その影響を軽減するのにより効率的である可能性がある。

2.3 提言5 - PSIRTのコミュニティのイベント(対象:ENISA、PSIRT)
 PSIRT間のつながりを促進し、包括的なコミュニティを発展させるために、PSIRTに特化した定期的なイベントを、中央主導、または国やEUレベルでのPSIRTの小グループの主導で展開しても良いだろう。また、このようなイベントについてはコミュニティをより広く発展させ、ますますグローバル化する情報セキュリティ問題に対応するために世界中で奨励しても良いだろう。

3. 開発と認知度
3.1 提言6 - ENISAのガイダンス(対象:ENISA)
 新興のPSIRTと実績のあるPSIRTのどちらもENISAからのガイダンスとサポートを強く望んでいる。これらはガイドラインや一般的なセキュリティ勧告のほか、よりグローバルなレベルでは、PSIRTとEU加盟国の他のIRチームとの間におけるベストプラクティスの開発および交流の促進を支援することを目的としたハイレベルの協力フレームワークの形で提供することができるだろう。

3.2 提言7 - PSIRTのプレゼンテーションの標準化(対象:PSIRT)
 RFC2350で定義されているようなプレゼンテーション規格を使用することで、提供しているサービスの分かりやすさやPSIRTチームの認知度を向上させ、脆弱性の報告プロセスを円滑にすることができるかもしれない。この文書は主にRFC2350で定義されているテンプレートに基づいたものになるだろう。

※ RFC2350(日本語訳)
コンピュータセキュリティインシデント対応への期待
https://www.ipa.go.jp/security/rfc/RFC2350JA.html

3.3 提言8 - PSIRTディレクトリ(対象:PSIRT)
 報告者または他のIRチームなど、外部の利害関係者とのコミュニケーションおよび協力体制を促進するために、PSIRTに対してはチームおよび連絡先の情報を専門のディレクトリに登録することを推奨すべきである。

3.4 提言9 - 評判および認知度(対象:PSIRT)
 IRチームは脆弱性報告のプロセスを円滑に進め、且つ発展させるために外部からの認知度を高める努力をすべきである。これは顧客とのコミュニケーションまたはIRコミュニティ(カンファレンスやワーキンググループなど)への積極的な参画を通じて達成できるだろう。

 今回の調査は対象が限定的であるため、統計的な意味はありませんが、その調査結果やそこから得られた知見、課題対処への提言はいずれもEU域外の他の業種にも十分参考になるものとなっています。PSIRTをすでに運用している企業はもちろん、これからPSIRTを構築しようとしている企業の担当者の皆さんには一読を強くお勧めします。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。