« 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31) | Main | 米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08) »

2022.04.15

ENISA EUにおける協調的脆弱性開示政策

こんにちは、丸山満彦です。

ENISAがEUにおける協調的脆弱性開示政策についての報告書を公開していますね。。。EU各国での協調的脆弱性開示政策を分析していますね。。。

あわせて、中国、米国、そして日本にも触れられています。。。日本といえば、「早期警戒パートナーシップ」ですね。。。かなり上手くいっているという評価のようです。。。

ENISA

・2022.04.13 (news) Coordinated Vulnerability Disclosure policies in the EU

Coordinated Vulnerability Disclosure policies in the EU EUにおける協調的脆弱性開示政策
The European Union Agency for Cybersecurity (ENISA) publishes a map of national Coordinated Vulnerability Disclosure (CVD) policies in the EU Member States and makes recommendations. 欧州連合サイバーセキュリティ機関(ENISA)は、EU加盟国各国の協調的脆弱性開示政策 (CVD) のマップを公開し、提言を行います。
<data-diazo="news-body">Vulnerability disclosure has become the focus of attention of cybersecurity experts engaged in strengthening the cybersecurity resilience of the European Union. The valid source of concern comes from the cybersecurity threats looming behind vulnerabilities, as demonstrated by the impact of the Log4Shell vulnerability. 欧州連合のサイバーセキュリティの強靭性強化に携わるサイバーセキュリティの専門家の間で、脆弱性の開示が注目されています。Log4Shellの脆弱性の影響に示されるように、脆弱性の背後に迫るサイバーセキュリティの脅威が、正当な懸念材料となっています。
Security researchers and ethical hackers constantly scrutinise ICT systems - both open source and commercial closed source software - to find weaknesses, misconfigurations, software vulnerabilities, etc. A wide range of issues are thus revealed: weak passwords, fundamental cryptographic flaws or deeply nested software bugs. セキュリティ研究者と倫理的ハッカーは、ICTシステム(オープンソースと商用クローズドソースの両方)を常に精査し、弱点、設定ミス、ソフトウェアの脆弱性などを見つけ出しています。このようにして、脆弱なパスワード、暗号の基本的な欠陥、あるいは深く入り組んだソフトウェアのバグなど、さまざまな問題が明らかになります。
Identifying vulnerabilities is therefore essential if we want to prevent attackers from exploiting them. It is important to consider that attackers can always develop malware specially designed to exploit vulnerabilities disclosed to the public. Besides the identification itself, vendors can also be reluctant to acknowledge vulnerabilities as their reputation might be damaged as a consequence. したがって、攻撃者に悪用されるのを防ぐためには、脆弱性を特定することが不可欠です。攻撃者は、公開された脆弱性を悪用するために特別に設計されたマルウェアを常に開発できることを考慮することが重要です。また、脆弱性の特定だけでなく、ベンダーが脆弱性を認めたがらないのは、結果として自社の評判を落とすことになりかねないからです。
What is CVD? CVDとは?
Coordinated vulnerability disclosure (CVD) is a process by which vulnerabilities finders work together and share information with the relevant stakeholders such as vendors and ICT infrastructure owners. 協調的脆弱性開示(CVD)とは、脆弱性発見者が協力し、ベンダーやICTインフラ所有者などの関係者と情報を共有するプロセスです。
CVD ensures that software vulnerabilities get disclosed to the public once the vendor has been able to develop a fix, a patch, or has found a different solution. CVDは、ベンダーが修正プログラムやパッチを開発したり、別の解決策を見つけたりした時点で、ソフトウェアの脆弱性が一般に公開されるようにするものです。
What are national CVD policies? 各国のCVD政策とは何ですか?
National CVD policies are national frameworks of rules and agreements designed to ensure: 各国の CVD 政策とは、以下のことを確実にするためのルールや合意事項からなる国家的な枠組みです。
・researchers contact the right parties to disclose the vulnerability; ・研究者は、脆弱性を開示するために適切な関係者に連絡する。
・vendors can develop a fix or a patch in a timely manner; ・ベンダーがタイムリーに修正プログラムやパッチを開発できること。
・researchers get recognition from their work and are protected from prosecution. ・研究者が自分の仕事を評価され、訴追から保護されること。
What is the situation in the EU? EUの状況は?
The report published today maps the national CVD policies in place across the EU, compares the different approaches and, highlights good practices. 本日発表された報告書は、EU全域で実施されている各国のCVD政策をマッピングし、異なるアプローチを比較し、優れた実践例を紹介しています。
The analysis allows a wide disparity to be observed among Member States in relation to their level of CVD policy achievement. At the time the data used in the report was collected, only four Member States had already implemented such a CVD policy, while another four of them were about to do so. The remaining Member States are split into two groups: those currently discussing how to move forward and those who have not yet reached that stage. この分析により、CVD政策の達成度に関して、加盟国間で大きな格差があることが確認された。この報告書で使用されたデータが収集された時点で、CVD政策をすでに実施していた加盟国はわずか4カ国であり、さらにそのうちの4カ国は実施間近であった。残りの加盟国は、現在どのように進めるか議論している国と、まだその段階に至っていない国の2つのグループに分けられます。
What are ENISA’s recommendations to promote CVD? CVDを推進するためのENISAの提言とは?
The main recommendations from the analysis of nineteen EU Member States include: 19のEU加盟国の分析から得られた主な提言は以下の通りです。
・Amendments to criminal laws and to the Cybercrime Directive to offer legal protection to security researchers involved in vulnerability discovery; ・脆弱性発見に関与するセキュリティ研究者に法的保護を提供するための刑法およびサイバー犯罪指令の改正。
・the definition of specific criteria for a clear-cut distinction between “ethical hacking” and “black hats” activities prior to establishing any legal protection for security researchers; ・セキュリティ研究者の法的保護を確立する前に、「倫理的ハッキング」と「ブラックハット」活動を明確に区別するための具体的基準を定義すること。
・incentives to be developed for security researchers to actively participate in CVD research, either through national or European bug bounty programmes, or through promoting and conducting cybersecurity training. ・セキュリティ研究者が CVD 研究に積極的に参加するためのインセンティブを、国内または欧州のバグバウンティプログラム、あるいはサイバーセキュリティ研修の推進と実施のいずれかを通じて開発すること。
Apart from the above, additional recommendations are issued in relation to the economic and polical challenges and also address operational and crisis management activities. 上記とは別に、経済的・政治的課題、運用・危機管理活動に関する追加提言も発表されている。
Next steps 次のステップ
The Commission’s proposal for the revision of the Network and Information Security Directive or NIS2 proposal, provides for EU countries to implement a national CVD policy. ENISA will be supporting the EU Member States with the implementation of this provision and will be developing a guideline to help EU Member States establish their national CVD policies. 欧州委員会のネットワークおよび情報セキュリティ指令の改正案(NIS2案)では、EU諸国が国別のCVD政策を実施することが規定されています。ENISAは、この規定の実施についてEU加盟国を支援し、EU加盟国の国家CVD政策の確立を支援するためのガイドラインを策定する予定です。
In addition, ENISA will need to develop and maintain an EU Vulnerability database (EUVDB). The work will complement the already existing international vulnerability databases. ENISA will start discussing the implementation of the database with the European Commission and the EU Member States after the adoption of the NIS2 proposal. さらに、ENISAはEU脆弱性データベース(EUVDB)を開発し、維持する必要があります。この作業は、すでに存在する国際的な脆弱性データベースを補完することになります。ENISAは、NIS2提案の採択後、欧州委員会およびEU加盟国とデータベースの導入について協議を開始する予定です。
Background material 背景資料
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in 2016, and the economic impact of vulnerabilites was explored in detail in 2018. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2018/2019 State of Vulnerabilities report. この報告書は、脆弱性の分野でENISAが行った過去の作業を基に作成されています。ENISAは2016年に脆弱性開示に関するグッドプラクティスに関する報告書を発行し、2018年には脆弱性の経済的影響について詳細に検討しました。さらに、脆弱性エコシステムの限界と機会については、ENISA 2018/2019 State of Vulnerabilitiesレポートで分析されました。
Further information さらに詳しい情報
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities 脆弱性の状態2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure 脆弱性情報公開の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations 脆弱性開示に関するグッドプラクティスガイド:課題から提言まで

 


・2022.04.13 Coordinated Vulnerability Disclosure Policies in the EU

Coordinated Vulnerability Disclosure Policies in the EU EUにおける協調的脆弱性開示政策
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements. 本レポートでは、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握できるほか、ハイレベルな主要調査結果や今後の改善に関する提言も掲載しています。

・[PDF

20220415-50403

概要...

EXECUTIVE SUMMARY  エグゼクティブ・サマリー
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements.  本報告書では、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握することはもちろん、ハイレベルな重要事項や今後の改善に向けた提言も行っています。
As shown by the recent Apache Log4j vulnerability, a single software flaw can put hundreds of millions of devices around the world at risk, leaving organizations struggling to patch affected systems before the vulnerability turns into a security incident. This is yet another vulnerability with global repurcussions that shows the importance of security research, communication between stakeholders, patching and good security practices.  最近のApache Log4jの脆弱性に見られるように、1つのソフトウェアの欠陥が世界中の何億ものデバイスを危険にさらし、組織は脆弱性がセキュリティ事故に発展する前に、影響を受けるシステムにパッチを当てることに苦労しています。これは、セキュリティ研究、関係者間のコミュニケーション、パッチ適用、優れたセキュリティ対策の重要性を示す、世界的な影響を及ぼすもう一つの脆弱性です。
A national CVD policy is a framework under which security researchers are allowed and encouraged to research ICT products and services, following a set of rules, and report any vulnerabilities they find to the national authorities or the product vendor. A national CVD policy helps to increase the overall level of cybersecurity in a country; it increases transparency, and this helps to build trust in the ICT services and products used in that country. In addition, it allows for valuable time and cooperation between stakeholders for patch development, which can potentially reduce the time for exploitation.  CVD政策とは、セキュリティ研究者が一定のルールに従ってICT製品やサービスを研究し、発見した脆弱性を国家機関や製品ベンダーに報告することを許可・奨励する枠組みを指します。CVD政策は、その国のサイバーセキュリティのレベルを向上させ、透明性を高め、その国で使用されているICTサービスや製品に対する信頼性を高めるのに役立ちます。さらに、パッチ開発のための貴重な時間と関係者間の協力が可能になり、悪用されるまでの時間を短縮できる可能性があります。
At the national level, the research shows that, while evolving in a fragmented EU environment, multiple EU Member States are making progress in the development of national CVD policies. Currently, only Belgium, France, Lithuania and the Netherlands are undertaking CVD policy work and have implemented policy requirements. Among these four countries, policy initiatives strongly differ. In parallel, four other Member States are on the point of implementing a policy. In these cases, the proposal is either being examined at the level of policymakers or is being tested in pilot projects. Another set of ten EU Member States are considering implementing a national CVD policy or are on the point of doing so. However, failure to reach a consensus at the political or legislative levels hampered the process. Finally, another group of Member States (nine) has not implemented a CVD policy and the process for establishing one has not yet started.  国レベルでは、断片的なEU環境の中で進化しながらも、複数のEU加盟国が国別CVD政策の策定を進めていることが調査から明らかになっています。現在、ベルギー、フランス、リトアニア、オランダだけがCVD政策に取り組んでおり、政策要件を導入しています。この4カ国の間では、政策の取り組みに大きな違いがあります。これと並行して、他の4つの加盟国も政策の実施に踏み切っています。これらの国では、政策立案者レベルで検討されているか、パイロットプロジェクトで試験的に実施されている段階です。また、EU加盟国のうち10カ国は、国内CVD政策の実施を検討しているか、実施しようとしています。しかし、政治や立法レベルでのコンセンサスが得られないことが、このプロセスの障害となっています。最後に、別の加盟国(9カ国)はCVD政策を実施しておらず、政策の確立に向けたプロセスもまだ始まっていません。
This EU market heterogeneity could be explained by various challenges faced by national governments when considering CVD initiatives. These challenges include legal, economical and political aspects which are further addressed in this report. Additionally, the lack of alignment of CVD practices, terminology, understanding and assessment of a CVD process is perceived as an obstacle for the implementation of national CVD policies and cooperation between Member States.  このようなEU市場の異質性は、CVDの取り組みを検討する際に各国政府が直面するさまざまな課題によって説明することができます。これらの課題には、法的、経済的、政治的な側面が含まれ、本レポートでさらに詳しく説明されています。さらに、CVDの実務、用語、CVDプロセスの理解や評価が一致していないことが、各国のCVD政策の実施や加盟国間の協力の障害になっていると考えられています。
More specifically, it turned out that the comprehensive CVD process is often, but not always, supported by national CSIRTs, which many countries see as the natural focal point for these activities. Good practices related to CVD policies and authorities’ involvement have been shared by Member States representatives and collected in this report.  具体的には、包括的なCVDのプロセスは、多くの場合、各国のCSIRTによって支援されているが、常に支援されているわけではなく、多くの国がこれらの活動のための自然な中心地であるとみなしていることが判明しました。本報告書では、CVD政策と当局の関与に関するグッドプラクティスをメンバー国の代表と共有し、収集しました。
CVD policy initiatives carried out in China, Japan and the United States were also reported. These non-EU players presented various methods of creating and adapting a CVD national policy, and maintaining and working on vulnerability registries. These notions are further detailed aside from EU practices and illustrated with inspiring inputs from experts.  また、中国、日本、米国におけるCVD政策の取り組みも報告されました。これらの非EU加盟国は、CVD国家政策の策定と適応、脆弱性登録の維持と作業について、さまざまな方法を提示しました。これらの概念は、EUの慣行とは別にさらに詳しく、専門家からの刺激的なインプットとともに説明されています。
Furthermore, there are several challenges that were identified by the Member States and are presented for discussion, along with relevant recommendations that can help mitigate them and support the implementation of national vulnerability disclosure policies. These challenges were identified and categorized based on their nature as legal, economic or political, and include findings such as  さらに、加盟国によって特定されたいくつかの課題があり、それらを軽減し、脆弱性開示の国家政策の実施を支援することができる関連勧告とともに、議論のために提示されています。これらの課題は、法的、経済的、政治的な性質に基づいて特定・分類され、以下のような知見が含まれています。
•        legal risks faced by researchers;  ・研究者が直面する法的リスク
•        limited economic incentives for vulnerability research;  ・脆弱性研究に対する限られた経済的インセンティブ
•        political challenges related to the role of the government and ‘safe harbour’ for researchers.  ・政府の役割と研究者のための「セーフハーバー」に関する政治的課題。
Lastly, following the analysis, several recommendations and concrete suggestions were presented for the role of the European Union Agency for Cybersecurity (ENISA) in supporting CVD in the EU. Some of the most important recommendations and suggested objectives are listed below.  最後に、分析に続いて、EUにおけるCVDの支援における欧州連合サイバーセキュリティ機関(ENISA)の役割について、いくつかの提言と具体的な提案が提示されました。最も重要な提言と提案された目標を以下に挙げます。
Major recommendations  主な提言 
•        Take the necessary steps to develop and implement national CVD policies.  ・各国のCVD政策の策定と実施に必要な措置を講じること。
•        Define the role of ethical hackers in relevant national laws to establish a framework for ethical security research around vulnerabilities.  ・倫理的ハッカーの役割を関連する国内法で定義し、脆弱性をめぐる倫理的なセキュリティ研究の枠組みを確立すること。
•        Develop incentives for security researchers to actively participate in CVD research. ・セキュリティ研究者が CVD 研究に積極的に参加できるようなインセンティブを整備すること。
Role for ENISA and the European Commission  ENISAと欧州委員会の役割 
•        Provide clear guidance to Member States on how to establish a CVD policy.  ・加盟国に対しCVD政策の策定方法について明確なガイダンスを提供すること。
•        Promote knowledge building and information exchange on CVD at the EU level.  ・EUレベルでのCVDに関する知識の構築と情報交換を促進すること。
•        Encourage the harmonization of CVD initiatives across countries.  ・国を超えたCVDの取り組みの調和を促進すること。
The information regarding the state of play of EU Member States presented herein was collected between Q2 and Q3 2021. Any updates to that status since then will be presented in future ENISA work. 本書で紹介するEU加盟国の取り組み状況に関する情報は、2021年第2四半期から第3四半期にかけて収集されたものです。それ以降のその状況の更新は、今後のENISAの作業で紹介される予定です。

 

目次...

1. INTRODUCTION  1. はじめに 
2. COORDINATED VULNERABILITY DISCLOSURE POLICIES  2. 協調的脆弱性開示政策 
2.1 STATE OF PLAY CVD POLICIES IN THE EU AND RELEVANT COUNTRIES AND REGIONS OUTSIDE  THE EU 2.1 EU および EU 圏外の関連国・地域における CVD 政策の実施状況
2.2 STATUS OF CVD POLICIES IN THE EU  2.2 EUにおけるCVD政策の状況 
2.3 CVD WITHIN EACH MEMBER STATE  2.3 各加盟国でのCVD 
2.3.1 Belgium  2.3.1 ベルギー 
2.3.2 Bulgaria  2.3.2 ブルガリア 
2.3.3 Czechia  2.3.3 チェコ共和国 
2.3.4 Denmark  2.3.4 デンマーク 
2.3.5 Germany  2.3.5 ドイツ 
2.3.6 Estonia  2.3.6 エストニア 
2.3.7 Ireland  2.3.7 アイルランド 
2.3.8 Greece  2.3.8 ギリシャ 
2.3.9 Spain  2.3.9 スペイン 
2.3.10 France  2.3.10 フランス 
2.3.11 Croatia  2.3.11 クロアチア 
2.3.12 Italy  2.3.12 イタリア 
2.3.13 Cyprus  2.3.13 キプロス 
2.3.14 Latvia  2.3.14 ラトビア 
2.3.15 Lithuania  2.3.15 リトアニア 
2.3.16 Luxembourg  2.3.16 ルクセンブルク 
2.3.17 Hungary  2.3.17 ハンガリー 
2.3.18 Malta  2.3.18 マルタ 
2.3.19 The Netherlands  2.3.19 オランダ 
2.3.20 Austria  2.3.20 オーストリア 
2.3.21  Poland  2.3.21 ポーランド 
2.3.22 Portugal  2.3.22 ポルトガル 
2.3.23 Romania  2.3.23 ルーマニア 
2.3.24 Slovenia  2.3.24 スロベニア 
2.3.25 Slovakia  2.3.25 スロバキア 
2.3.26 Finland  2.3.26 フィンランド 
2.3.27 Sweden  2.3.27 スウェーデン 
2.4 CVD OUTSIDE THE EUROPEAN UNION  2.4 欧州連合外のCVD 
2.4.1 People’s Republic Of China   2.4.1 中華人民共和国  
2.4.2 Japan   2.4.2 日本  
2.4.3 United States of America   2.4.3 アメリカ合衆国  
3. CVD POLICY PRACTICES  3. CVD政策の実践 
3.1 DESIRED ELEMENTS OF CVD PROCESSES  3.1 CVDプロセスに望まれる要素 
3.1.1 Entities Involved  3.1.1 関与する主体 
3.1.2 Tools  3.1.2 ツール 
3.1.3 Awareness-Raising Campaigns  3.1.3 意識改革キャンペーン 
3.1.4 Operational and Crisis Management Activities  3.1.4 運用・危機管理活動 
3.2 CVD POLICY – GOOD PRACTICES  3.2 CVD政策 - グッドプラクティス 
3.2.1 Content of a CVD Policy  3.2.1 CVD政策の内容 
3.2.2 Established Good Practices in Member States CVD Procedures  3.2.2 加盟国のCVD手続きにおけるグッドプラクティスの確立 
3.3 CHALLENGES AND ISSUES  3.3 課題と問題点 
3.3.1 Legal challenges  3.3.1 法的課題 
3.3.2 Economic challenges  3.3.2 経済的な課題 
3.3.3 Political challenges  3.3.3 政治的な課題 
4. RECOMMENDATIONS  4. 提言 
4.1 RECOMMENDATIONS ON LEGAL CHALLENGES  4.1 法的課題に関する提言 
4.2 RECOMMENDATIONS ON ECONOMIC CHALLENGES  4.2 経済的課題に関する提言 
4.3 RECOMMENDATIONS ON POLITICAL CHALLENGES  4.3 政治的課題に関する提言 
4.4 RECOMMENDATIONS ON CHALLENGES FROM OPERATIONAL AND CRISIS MANAGEMENT ACTIVITIES  4.4 作戦・危機管理活動からの課題に関する提言 
4.5 THE ROLE OF ENISA AND OF THE EUROPEAN COMMISSION  4.5 ENISAと欧州委員会の役割 
5. REFERENCES  5. 参考文献 
6. BIBLIOGRAPHY  6. 関連文書

 

日本についての説明の部分...

2.4.2 Japan 75  2.4.2 日本
In Japan, the coordinated disclosure of vulnerabilities in products such as software is performed in accordance with the ‘Information Security Early Warning Partnership Guideline’ (hereafter ‘Guideline’). This guideline is based on a 2004 notification from the Ministry of Economy, Trade and Industry (METI) entitled ‘Standards for Handling Software Vulnerability Information and Others’, which was amended in 2014 and 2017. The notification was renamed ‘Standards for Handling Vulnerability-related Information of Software Products and Others’ in 2017. The guideline was created and jointly announced in cooperation with several industry organisations, namely the Japan Electronics and Information Technology Industries Association (JEITA), the Japan Information Technology Service Industry Association (JISA), the Computer Software Association of Japan (CSAJ) and the Japan Network Security Association (JNSA). It serves as a recommendation to parties relevant to the coordinated vulnerability disclosure process. The recommended processes in the guideline are in alignment with ISO/IEC 29147:2014 ‘Vulnerability disclosure’. For the purposes of this document, vulnerabilities in products such as software and firmware will be considered.  日本では、「情報セキュリティ早期警戒パートナーシップガイドライン」(以下、「ガイドライン」)に基づき、ソフトウェアなどの製品の脆弱性を協調して開示することが行われています。このガイドラインは、2004年に経済産業省から出された「ソフトウェアの脆弱性情報等の取扱いに関する基準」に基づいており、2014年、2017年に改正されました。同通達は2017年に『ソフトウェア製品の脆弱性関連情報の取扱い基準等』に名称が変更されました。本ガイドラインは、複数の業界団体である電子情報技術産業協会(JEITA)、情報通信サービス産業協会(JISA)、コンピュータソフトウェア協会(CSAJ)、日本ネットワークセキュリティ協会(JNSA)の協力を得て作成し、共同で発表したものです。脆弱性情報開示の協調プロセスに関わる関係者への推奨事項となっています。本ガイドラインの推奨プロセスは、ISO/IEC 29147:2014 'Vulnerability disclosure' と整合しています。この文書では、ソフトウェアやファームウェアなどの製品に存在する脆弱性を考慮しています。
In this guideline, vulnerability reports from researchers are sent to the Information-technology Promotion Agency (IPA), a policy implementation agency under the jurisdiction of METI handling initial analysis and triage. After this process, the reports are sent to the JPCERT Coordination Center (JPCERT/CC), an independent, non-profit organisation funded by METI for coordination with the vendor/developer of the product. Once the vulnerability has been addressed by the vendor/developer, an advisory will be published on Japan Vulnerability Notes (JVN), typically in conjunction with an advisory from the vendor/developer. Through this coordinated vulnerability disclosure process, a total of 1 875 advisories have been published on JVN as of March 2021.  本ガイドラインでは、研究者からの脆弱性報告は、経済産業省所管の政策実施機関である情報処理推進機構(IPA)に送られ、初期解析とトリアージが行われます。その後、経済産業省が出資する独立非営利団体JPCERTコーディネーションセンター(JPCERT/CC)に送られ、製品のベンダーや開発元との調整が行われます。ベンダー/開発元が脆弱性に対応した後、通常、ベンダー/開発元からのアドバイザリーとともに、Japan Vulnerability Notes (JVN)に公開されることになります。この協調的な脆弱性公開プロセスにより、2021年3月現在、合計1、875件のアドバイザリーがJVNで公開されています。
While this coordinated vulnerability disclosure process has worked fairly well, the number of reports received has increased significantly over the past few years. Various factors have caused this increase, among them being an increase in the overall awareness of security vulnerabilities, in the number of researchers searching for vulnerabilities, in the number of products available and in the availability of easy-to-use tools for vulnerability discovery. The increase in reports has led to a process overflow where some reports are not being handled in a timely manner. The guideline initially stated that all reported vulnerabilities must be coordinated and subsequently disclosed on JVN after the vulnerability has been addressed. While it is probably best to coordinate and disclose all reported vulnerabilities, regardless of their severity or the number of users that a particular product has, this is not practical in practice. Also, since this guideline has been published, many vendors/developers have become receptive to the coordinated vulnerability disclosure process, but there remain vendors/developers that are not.  この協調的な脆弱性開示プロセスは、かなりうまく機能しており、ここ数年、報告書の受理件数は大幅に増加しています。この増加にはさまざまな要因がありますが、中でも、セキュリティ脆弱性に対する全体的な意識の高まり、脆弱性を検索する研究者の数、利用可能な製品の数、脆弱性発見のための使いやすいツールの普及が挙げられます。報告件数の増加により、一部の報告がタイムリーに処理されないというプロセスのオーバーフローが発生しています。当初、ガイドラインでは、報告された脆弱性はすべて調整され、その後、脆弱性が対処された後にJVNで公開されなければならないとされていました。報告された脆弱性は、その深刻度や特定製品のユーザ数にかかわらず、すべて調整し公開することが最善であると思われますが、実際には現実的ではありません。また、このガイドラインが発行されて以来、多くのベンダー/デベロッパーが協調して脆弱性を開示するプロセスを受け入れるようになりましたが、そうでないベンダー/デベロッパーも残っています。
As a recommendation for creating a policy on coordinated vulnerability disclosure, the experiences in Japan lead to the following considerations.  脆弱性の協調開示に関する政策策定への提言として、日本での経験から、以下のような考察がなされます。
•        Incentive should be provided to researchers to report vulnerabilities to an organisation that can directly address the vulnerability or at least coordinate with an organisation that can address the vulnerability.  ・脆弱性に直接対処できる組織や、少なくとも対処できる組織と連携して脆弱性を報告するインセンティブを、研究者に与えるべきである。
•        Monetary incentive should also be provided (bug bounty).  ・金銭的なインセンティブも与えるべきである(バグバウンティ)。
•        Recognition should also be provided (credit on an advisory).  ・また、表彰を行うべきである(アドバイザリーへのクレジット掲載)。
•        Incentives should be provided to vendors to support the coordinated disclosure of vulnerabilities.  ・ベンダーに対して、脆弱性の協調的な公開を支援するインセンティブを与えるべきである。
•        Vendors should be allowed to promote their own actions to address vulnerabilities as a good practice (market appeal).  ・ベンダーは、自らの脆弱性対応行動をグッドプラクティスとしてアピールできるようにすべきである(市場へのアピール)。
•        Third-party coordinators can also provide value in this process.  ・また、第三者であるコーディネータもこのプロセスにおいて価値を提供することができる。
•        Advisories should be published so that information can reach a wider audience.  ・より多くの人に情報が届くように、アドバイザリを公開するべきである。
•        Support should be provided in the coordination process where multiple organisations need to be contacted with a vulnerability (multi-party coordination).  ・脆弱性に関して複数の組織と連絡を取る必要がある場合、調整プロセスにおいて支援を行うべきである(複数当事者による調整)。
•        The coordination process should be clarified so that researchers know how a reported vulnerability will be coordinated and disclosed.  ・報告された脆弱性がどのように調整され、公開されるかを研究者が知ることができるよう、調整プロセスを明確化する必要がある。
•        Vendors should be taught how to create a coordination process so that researchers know vendors will address reported vulnerabilities.  ・ベンダが報告された脆弱性に対応することが研究者にわかるように、ベンダに対して調整プロセスの作成方法を指導するべきである。

 

 

|

« 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31) | Main | 米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31) | Main | 米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08) »