ETSI 協調的な脆弱性開示のためのガイド
こんにちは、丸山満彦です。
European Telecommunications Standards Institute: ETSI(欧州電気通信標準化機構[wikipedia])が、「 協調的な脆弱性開示のためのガイド」を公表していますね。。。
IoTの時代になってくるとこういうのって重要なんですよね。。。
● European Telecommunications Standards Institute: ETSI
ETSI RELEASES REPORT ON COORDINATED VULNERABILITY DISCLOSURE - HELPING ORGANIZATIONS FIX SECURITY VULNERABILITIES | ETSI、協調的な脆弱性開示に関する報告書を発表 - 組織によるセキュリティ脆弱性の修正を支援 |
ETSI has released on 27 January a Guide to Coordinated Vulnerability Disclosure. The Technical Report ETSI TR 103 838 will help companies and organizations of all sizes to implement a vulnerability disclosure process and fix vulnerability issues before they’re publicly disclosed. | ETSIは、1月27日に「協調的な脆弱性開示のためのガイド」を発表しました。この技術報告書ETSI TR 103 838は、あらゆる規模の企業や組織が、脆弱性開示プロセスを実施し、脆弱性問題が公に開示される前に修正することを支援します。 |
As of early 2022 only about 20% of ICT and IoT companies have a publicly identifiable dedicated means to notify a company of a potentially serious security issue with their products or services. Many companies provide a website “contact us” page or have a presence on social media through which a security issue could be reported. However, in most cases without a formal separate CVD process, many companies lack the internal process to handle such reports in a timely manner especially where third party elements are included in their products. | 2022年初頭の時点で、ICTおよびIoT企業のうち、自社の製品やサービスに潜在する深刻なセキュリティ問題を企業に通知するための、公的に識別可能な専用の手段を持っているのは約20%に過ぎません。多くの企業は、ウェブサイトの「お問い合わせ」ページを提供したり、ソーシャルメディアでセキュリティ問題を報告できるようにしたりしています。しかし、ほとんどの場合、正式な独立したCVDプロセスがないため、多くの企業は、特にサードパーティの要素が自社製品に含まれている場合、このような報告をタイムリーに処理するための内部プロセスがありません。 |
Alex Leadbeater ETSI TC Cyber Chair noted that “While some large companies offer excellent paid vulnerability identification CVD schemes, a significant majority of ICT and IoT companies still do not have any form of CVD scheme in place. This is especially true of smaller companies and for companies with products that are not subject to formal regulatory related cyber security or safety testing. Such schemes are equally important for both physical product manufacturers and service or App providers”. | ETSI TC Cyber議長のアレックス リードビータ氏は次のように述べています。「一部の大企業は、優れた有料の脆弱性診断CVDスキームを提供していますが、ICTおよびIoT企業の大多数は、いまだに何らかの形でCVDスキームを導入していません。これは、特に小規模企業や、規制に関連した正式なサイバーセキュリティや安全性テストを受けていない製品を持つ企業に当てはまります。このようなスキームは、物理的な製品メーカーとサービスやアプリのプロバイダーの両方にとって同様に重要です。」 |
As mandated in ETSI EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements, a CVD scheme is a key requirement in ensuring on-going strong cyber security after a product has been placed on the market. Ranked after not using default passwords, an inability to handle cyber security vulnerabilities in life has been a significant contributory factor in many recent IoT product security failures. | ETSI EN 303 645 「消費者向けIoTのためのサイバーセキュリティの基本的な要件」に規定されているように、CVDスキームは、製品が市場に出回った後、継続的に強力なサイバーセキュリティを確保するための重要な要件です。最近のIoT製品のセキュリティ障害の多くは、デフォルトのパスワードを使用していないことに加え、サイバーセキュリティの脆弱性を生活の中で処理できないことが大きな要因となっています。 |
The ETSI Report contains advice on how to respond to and manage a vulnerability disclosure, a defined triage process, advice on managing vulnerabilities in third party products or suppliers. It also includes an example of a vulnerability disclosure policy. This is especially important for SMEs or larger companies who do not already have experience of CVD schemes or dealing with security vulnerabilities that are reported by security researchers. | このETSIレポートには、脆弱性開示への対応と管理方法、定義されたトリアージプロセス、サードパーティ製品やサプライヤーの脆弱性管理に関するアドバイスが含まれています。また、脆弱性開示ポリシーの例も含まれています。これは、CVD制度やセキュリティ研究者から報告されたセキュリティ脆弱性への対応をまだ経験していない中小企業や大企業にとって特に重要です。 |
Security plays a crucial role in the development and lifecycle of systems, products and services. At any time in the lifecycle, a vulnerability can be found that weakens the security if left unaddressed. If a vulnerability is found in development, this can be addressed before the product is released. Often, however, vulnerabilities are found after a system, product or service has been deployed. In this case, it can be difficult for the finder to know how or where to report the vulnerability. | セキュリティは、システム、製品、サービスの開発およびライフサイクルにおいて重要な役割を果たします。ライフサイクルの中では、いつでも脆弱性が発見される可能性があり、それを放置するとセキュリティが弱くなります。開発中に脆弱性が発見された場合は、製品がリリースされる前に対処することができます。しかし、多くの場合、システムや製品、サービスが導入された後に脆弱性が発見されます。この場合、発見者は、どこでどのように脆弱性を報告すればよいのかを知ることが困難な場合があります。 |
To remedy this, an organization should have a vulnerability disclosure process. There are many reasons to do so: | このような状況を改善するために、組織は脆弱性開示プロセスを持つべきです。それには多くの理由があります。 |
・A vulnerability disclosure process helps an organization to respond most effectively to a security vulnerability. | ・脆弱性開示プロセスは、組織がセキュリティ脆弱性に最も効果的に対応するのに役立ちます。 |
・By providing a clear process, organizations can receive the information directly so the vulnerability can be addressed, and any associated risk reduced. | ・明確なプロセスを提供することで、組織は情報を直接受け取ることができ、脆弱性に対処し、関連するリスクを低減することができます。 |
・Vulnerability reports can provide organizations with valuable information that can be used to improve the security of systems, products and services. | ・脆弱性レポートは、システム、製品、およびサービスのセキュリティを向上させるために使用できる貴重な情報を組織に提供できます。 |
・The presence of a vulnerability disclosure process demonstrates that an organization takes security seriously. | ・脆弱性開示プロセスの存在は、組織がセキュリティに真剣に取り組んでいることを示します。 |
・By accepting and receiving vulnerability reports, organizations will reduce the number of vulnerabilities in their systems, products or services. | ・脆弱性の報告を受け入れ、受け取ることで、組織はシステム、製品、またはサービスに含まれる脆弱性の数を減らすことができます。 |
・It allows organizations to engage constructively with finders. This engagement means the organization can receive valuable information that would otherwise be missed, or require additional time and effort to discover. | ・組織は発見者と建設的に関わることができます。これは、組織が、他の方法では見落とされたり、発見するために追加の時間と労力を必要とする貴重な情報を受け取ることができることを意味します。 |
Having a clearly sign-posted disclosure process demonstrates that an organization takes security seriously. By contrast, if an organization does not provide a vulnerability disclosure route, finders who discover vulnerabilities may resort to public disclosure of the information, or vulnerabilities and subsequent exploits may go undetected until an otherwise avoidable serious widescale security event occurs. This public release can result in reputational damage and can lead to a compromise. | 明確なサインポストのある開示プロセスを持つことは、組織がセキュリティに真剣に取り組んでいることを示します。反対に、組織が脆弱性の開示ルートを提供していない場合、脆弱性発見者は、その情報を公開することに頼るかもしれません。あるいは、回避可能な大規模で深刻なセキュリティイベントが発生するまで、脆弱性とそれに続く悪用は発見されないかもしれません。このような公開は、評判を落とす結果となり、危害を加えることになります。 |
As demonstrated by the recent Log4j security bug, early identification and resolution of security vulnerabilities through a CVD scheme should be a key part of every company’s cyber security strategy. | 最近のLog4jのセキュリティ・バグで示されたように、CVDスキームによるセキュリティ脆弱性の早期発見と解決は、すべての企業のサイバー・セキュリティ戦略の重要な部分であるべきです。 |
・[PDF] ETSI TR 103 838 V1.1.1 (2022-01) Cyber Security; Guide to Coordinated Vulnerability Disclosure
目次
Foreword | はじめに |
Modal verbs terminology | 用語集 |
Introduction | はじめに |
1 Scope | 1 範囲 |
2 References | 2 引用規格 |
2.1 Normative references | 2.1 規範規格 |
2.2 Informative references | 2.2 参考規格 |
3 Definition of terms, symbols and abbreviations | 3 用語、記号、略語の定義 |
3.1 Terms | 3.1 用語 |
3.2 Symbols | 3.2 記号 |
3.3 Abbreviations | 3.3 省略形 |
4 Introduction | 4 序文 |
4.1 Importance of establishing a vulnerability disclosure process | 4.1 脆弱性開示プロセスを確立することの重要性 |
4.2 The vulnerability disclosure process | 4.2 脆弱性の公開プロセス |
4.3 How to use the present document | 4.3 本文書の使用方法 |
5 Guidance on implementation | 5 導入ガイダンス |
5.1 General | 5.1 一般 |
5.2 Vulnerability disclosure policy | 5.2 脆弱性開示ポリシー |
5.3 How to receive a vulnerability report | 5.3 脆弱性レポートの受け取り方 |
5.3.1 General | 5.3.1 一般 |
5.3.2 Vulnerability disclosure template | 5.3.2 脆弱性開示テンプレート |
5.4 security.txt | 5.4 security.txt |
5.5 Responding to a vulnerability disclosure | 5.5 脆弱性開示への対応 |
5.5.1 Communication and response | 5.5.1 コミュニケーションと対応 |
5.5.2 Triage | 5.5.2 トリアージ |
5.5.3 Acknowledging the finder | 5.5.3 発見者への謝辞 |
5.5.4 Public Advisory | 5.5.4 公開諮問 |
5.5.5 Requesting a CVE ID | 5.5.5 CVE IDの要求 |
5.6 Vulnerability Management | 5.6 脆弱性の管理 |
5.6.1 Process | 5.6.1 プロセス |
5.6.2 Third Party Suppliers | 5.6.2 サードパーティサプライヤ |
6 Examples | 6 例 |
6.1 Example Vulnerability Disclosure Policy | 6.1 脆弱性開示ポリシー例 |
History | 履歴 |
・[DOCX] 4から6までの仮対訳
参考
● ETSI
・[PDF]ETSI EN 303 645 V2.1.1 (2020-06)
● ISO
・ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure
This document provides requirements and recommendations to vendors on the disclosure of vulnerabilities in products and services. Vulnerability disclosure enables users to perform technical vulnerability management as specified in ISO/IEC 27002:2013, 12.6.1[1]. Vulnerability disclosure helps users protect their systems and data, prioritize defensive investments, and better assess risk. The goal of vulnerability disclosure is to reduce the risk associated with exploiting vulnerabilities. Coordinated vulnerability disclosure is especially important when multiple vendors are affected. This document provides: | 本文書は、製品やサービスに含まれる脆弱性の開示について、ベンダーに対する要求事項と推奨事項を定めたものです。脆弱性の開示により、ISO/IEC 27002:2013の12.6.1[1]で規定されている技術的な脆弱性管理を行うことができます。脆弱性の開示は、ユーザがシステムやデータを保護し、防御のための投資を優先し、リスクをより適切に評価するのに役立ちます。脆弱性の公開の目的は、脆弱性の悪用に伴うリスクを低減することです。複数のベンダーが影響を受けている場合、協調した脆弱性の公開は特に重要です。本文書では |
— guidelines on receiving reports about potential vulnerabilities; | ・潜在的な脆弱性に関する報告を受ける際のガイドライン |
— guidelines on disclosing vulnerability remediation information; | ・脆弱性の修正情報を公開する際のガイドライン |
— terms and definitions that are specific to vulnerability disclosure; | ・脆弱性情報の開示に特有の用語と定義 |
— an overview of vulnerability disclosure concepts; | ・脆弱性開示の概念の概要 |
— techniques and policy considerations for vulnerability disclosure; | ・脆弱性情報開示のための技術や方針の検討 |
— examples of techniques, policies (Annex A), and communications (Annex B). | ・技法、方針(附属書A)、コミュニケーション(附属書B)例 |
Other related activities that take place between receiving and disclosing vulnerability reports are described in ISO/IEC 30111. | 脆弱性レポートを受け取ってから開示するまでの間に行われるその他の関連活動については、ISO/IEC 30111に記載されています。 |
This document is applicable to vendors who choose to practice vulnerability disclosure to reduce risk to users of vendors' products and services. | 本文書は、ベンダーの製品やサービスの利用者のリスクを低減するために、脆弱性の開示を実践することを選択したベンダーに適用されます。 |
« 個人情報保護委員会 外国における個人情報の保護に関する制度等の調査 | Main | NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス »
Comments