欧州 ENISA 協調的な脆弱性情報開示:EU共通のアプローチ
こんにちは、丸山満彦です。
2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令(NIS2)」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要があります。。。さらに、現在審議中のサイバーレジリエンス法(CRA)案において脆弱性の取り扱い要件が含まれていますね。。。
と言うことで、ENISAは協調的な脆弱性情報開示についてのガイドを公表しています。。。
日本はそう言う意味では早く(2004.07.08)から、脆弱性情報を開示するためのプロセスである「情報セキュリティ早期警戒パートナーシップ」を運営しているわけで先進的な取り組みをしていましたね。。。今回のEUでの取り組みにも、この実績は参考にされたようです。。。
● ENISA
・2023.02.16 Coordinated Vulnerability Disclosure: Towards a Common EU Approach
Coordinated Vulnerability Disclosure: Towards a Common EU Approach | 協調的な脆弱性情報開示:EU共通のアプローチに向けて |
The new report of the European Union Agency for Cybersecurity (ENISA) explores how to develop harmonised national vulnerability programmes and initiatives in the EU. | 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書は、EUにおいて調和された各国の脆弱性プログラムおよびイニシアチブを開発する方法を探っている。 |
With the new Directive on measures for a high common level of cybersecurity across the Union (NIS2) adopted on 16 January 2023, Member States will need to have a coordinated vulnerability disclosure policy adopted and published by 17 October 2024. In addition, other ongoing legislative developments will also address vulnerability disclosure, with vulnerability handling requirements already foreseen in the proposed Cyber Resilience Act (CRA). | 2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令(NIS2)」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要がある。さらに、現在進行中の他の法整備も脆弱性開示に対応するものであり、提案されているサイバー・レジリエンス法(CRA)において脆弱性の取り扱い要件がすでに予見されている。 |
The new report published today looks into the expectations of both industry and the Member States in relation to the NIS2’s objective. It also analyses the related legal, collaborative, technical challenges arising from such initiatives. | 本日発表された新しい報告書では、NIS2の目的に関連して、産業界と加盟国の両方がどのような期待を抱いているかを調べている。また、このような取り組みから生じる、関連する法的、協調的、技術的な課題についても分析している。 |
Apart from insights on industry expectations, the findings feed into the guidelines ENISA and the NIS Cooperation Group intend to prepare to help EU Member States establish their national Coordinated Vulnerability Disclosure (CVD) policies. These guidelines would be focused on vulnerability management, dedicated processes and related responsibilities. | 産業界の期待に関する洞察とは別に、この調査結果は、ENISAとNIS協力グループが、EU加盟国が国別の協調的脆弱性開示(CVD)政策を確立するのを支援するために作成しようとしているガイドラインに反映される。このガイドラインは、脆弱性管理、専用プロセス、および関連する責任に焦点を当てたものとなるだろう。 |
With this research, ENISA seeks to find out how a harmonised approach across the EU can be achieved. The different options envisaged to do so will be discussed within the task force driving the project and consisting of ENISA together with the NIS cooperation group. | この研究により、ENISAは、EU全域で調和されたアプローチをどのように実現できるかを見出そうとしている。そのために想定されるさまざまな選択肢は、ENISAとNISの協力グループからなる、このプロジェクトを推進するタスクフォースで議論される予定である。 |
Peeking into the report: | 報告書を覗く: |
Examples of what industry expects: | 産業界が期待例: |
a national or European CVD policy may encourage organisations to set vulnerability management and security practices as a priority; | 国または欧州のCVD政策は、組織が脆弱性管理とセキュリティの実践を優先するよう促すかもしれない。 |
policy makers should consider the existing initiatives and standards around CVD; | 政策立案者は、CVDに関する既存の取り組みや標準を考慮する必要がある。 |
global cooperation across different legislations as well as cooperation between industry players and the public sector needs to be strengthened to avoid silos. | 異なる法律間のグローバルな協力、および業界関係者と公共部門の協力関係を強化し、サイロ化を回避する必要がある。 |
Challenges for Security Researchers | セキュリティ研究者の課題 |
The report also highlights the incentives and obstacles addressed to security researchers to legally report vulnerabilities. Reputational interests are a key driver for researchers whose public proof of vulnerability discovery and disclosure adds to their professional credibility and thus ensures the legitimacy and reliability of their work. On the other hand, a vague or absent CVD framework may lead to legal uncertainty, and this hinder or even prevent the reporting of vulnerabilities. | この報告書では、セキュリティ研究者が脆弱性を合法的に報告するための誘因や障害も取り上げている。研究者にとって、脆弱性の発見と公開を公に証明することは、専門家としての信頼性を高め、その研究の正当性と信頼性を保証する重要な推進力となっている。一方、CVDの枠組みが曖昧であったり、存在しなかったりすると、法的な不確実性が生じ、脆弱性の報告が妨げられたり、阻止されたりする可能性がある。 |
Background | 背景 |
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in the EU in April 2022. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2019 State of Vulnerabilities report. | 本報告書は、脆弱性の分野でENISAが実施した過去の作業を基に作成されている。ENISAは、2022年4月にEUにおける脆弱性開示に関するグッドプラクティスに関する報告書を発行した。さらに、脆弱性エコシステムの限界と機会については、ENISA 2019 State of Vulnerabilitiesレポートで分析した。 |
Further information | さらに詳しい情報 |
Developing National Vulnerability Programmes and Initiatives – ENISA report 2023 | 国家脆弱性プログラムおよびイニシアチブの開発 - ENISAレポート2023 |
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report 2022 | EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート2022年版 |
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities | 脆弱性の状態 2018/2019 - 脆弱性の生涯における事象の分析 |
Economics of Vulnerability Disclosure | 脆弱性開示の経済学 |
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations | 脆弱性開示に関するグッドプラクティスガイド。課題から提言へ |
Directive on measures for a high common level of cybersecurity across the Union (NIS2) | 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS2) |
Cyber Resilience Act (CRA) | サイバーレジリエンス法(CRA) |
・2023.02.16 Developing National Vulnerabilities Programmes
Developing National Vulnerabilities Programmes | 国家脆弱性プログラムの開発 |
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action. | 業界関係者や各国政府から集められた経験や見解、また各国の脆弱性イニシアティブやプログラムに関わる複数の関係者によって作成された文書によると、EUの協調的脆弱性開示(CVD)エコシステムは依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。 |
・[PDF]
・[DOCX] 仮訳
目次...
1 INTRODUCTION | 1 序論 |
1.1 CONTEXT AND OBJECTIVES | 1.1 背景と目的 |
1.2 TARGET AUDIENCE | 1.2 対象読者 |
1.3 REPORT STRUCTURE | 1.3 報告書の構成 |
1.4 METHODOLOGICAL APPROACH | 1.4 方法論的アプローチ |
2 NATIONAL CVD POLICY IMPLEMENTATION – THE INDUSTRY PERSPECTIVE | 2 国家のCVD政策の実施 - 産業界の視点 |
2.1 CONTEXT | 2.1 前提条件 |
2.2 ASSESSMENT OF NATIONAL POLICIES | 2.2 国家政策の評価 |
2.3 GOOD PRACTICES WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED VULNERABILITY DISCLOSURE POLICY | 2.3 国家的な協調による脆弱性開示政策を策定し、実施する際のグッドプラクティス |
2.4 CHALLENGES FACED WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED VULNERABILITY DISCLOSURE POLICY | 2.4 国家レベルで調整された脆弱性開示政策を策定し、実施する際に直面する課題 |
3 ADDRESSING LEGAL CHALLENGES FOR SECURITY RESEARCHERS | 3 セキュリティ研究者のための法的課題への対応 |
3.1 CONTEXT | 3.1 文脈 |
3.2 INCENTIVES FOR SECURITY RESEARCHERS TO LEGALLY REPORT VULNERABILITIES | 3.2 セキュリティ研究者が合法的に脆弱性を報告するための誘因 |
3.3 DISINCENTIVES PREVENTING LEGAL REPORTING OF VULNERABILITIES | 3.3 脆弱性の合法的な報告を妨げている阻害要因 |
3.4 INITIATIVES ADDRESSING THE LACK OF LEGAL PROTECTIONS | 3.4 法的保護の欠如に対処するための取り組み |
4 ADDRESSING COLLABORATIVE CHALLENGES: THE USE OF OPEN-SOURCE SOFTWARE AND BUG-BOUNTY PROGRAMS | 4 共同の課題への取り組み。オープンソースソフトウェアとバグバウンティプログラムの利用 |
4.1 OPEN-SOURCE SOFTWARE – OSS | 4.1 オープンソースソフトウェア - OSS |
4.1.1 Context | 4.1.1 コンテクスト |
4.1.2 Vulnerabilities’ impact, management and treatment within OSS | 4.1.2 OSS における脆弱性の影響、管理、処置 |
4.1.3 Usage of ‘software bill of materials’ within the context of OSS | 4.1.3 OSS の文脈における「ソフトウェア部品表」の使用法 |
4.1.4 Governance under the perspective of OSS | 4.1.4 OSS の観点からのガバナンス |
4.1.5 Instances of OSS vulnerabilities within public and private organisations | 4.1.5 公共・民間組織における OSS 脆弱性の事例 |
4.2 CONSIDERATIONS ON OUTSOURCING SECURITY VIA BUG BOUNTY PROGRAMMES | 4.2 バグバウンティプログラムによるセキュリティのアウトソーシングに関する考察 |
4.2.1 Context | 4.2.1 コンテクスト |
4.2.2 Structure of bug bounty programmes | 4.2.2 バグバウンティプログラムの構造 |
4.2.3 Security-by-design | 4.2.3 デザインによるセキュリティ |
4.2.4 Bug bounty programmes in public administrations | 4.2.4 行政機関におけるバグバウンティプログラム |
4.2.5 Bug bounty programmes challenges | 4.2.5 バグバウンティプログラムの課題 |
4.2.6 Evolution of bug bounty programmes | 4.2.6 バグ報奨金制度の進化 |
5 ADDRESSING TECHNICAL CHALLENGES: AUTOMATION INITIATIVES SUPPORTING PRIORITISATION AND TREATMENT OF VULNERABILITIES | 5 技術的課題への対応 脆弱性の優先順位付けと対処を支援する自動化の取り組み |
5.1 CONTEXT | 5.1 背景 |
5.2 AUTOMATED PROCESSES WITHIN VULNERABILITY MANAGEMENT | 5.2 脆弱性管理におけるプロセスの自動化 |
5.3 COORDINATED VULNERABILITY DISCLOSURE TOOLS FOSTERING THE USAGE OF AUTOMATED WORKFLOWS WITHIN VULNERABILITY PRIORITISATION AND TREATMENT | 5.3 脆弱性の優先順位付けと治療における自動化ワークフローの使用を促進する協調的な脆弱性開示ツール |
6 CONCLUSIONS | 6 結論 |
7 REFERENCES | 7 参考文献 |
・エグゼクティブサマリー
EXECUTIVE SUMMARY | エグゼクティブサマリー |
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action. | 業界関係者や各国政府から集めた経験や見解、また、各国の脆弱性イニシアティブやプログラムに関わる複数の関係者が作成した文書によると、EUの協調的脆弱性開示(CVD)エコシステムは、依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。 |
This report shows that, despite recent efforts by national governments in developing CVD policies, some industry players have taken the lead and developed vulnerability policies and programmes at organisation level. Nevertheless, among the top industry expectations is that the development of a national or European level CVD policy could help organisations and public administrations to set vulnerability management as a priority and further encourage security practices. In addition, the alignment of such policies with existing international standards, can greatly help in promoting harmonization. | 本報告書では、CVD政策の策定における各国政府の最近の努力にもかかわらず、一部の業界プレーヤーが率先して脆弱性政策や組織レベルのプログラムを策定していることが示されている。とはいえ、業界が最も期待しているのは、国または欧州レベルのCVD政策を策定することで、組織や行政が脆弱性管理を優先課題に設定し、セキュリティ対策をさらに奨励できるようになることである。さらに、このようなポリシーを既存の国際標準と整合させることは、ハーモナイゼーションの推進に大いに役立ちます。 |
As far as vulnerability initiatives are concerned, Bug Bounties Programmes (BBP) is an area that grew remarkably over the past few years. BBPs have considerably adapted their business models in offering different type of services, hence different coverages of IT systems and levels of involvement in vulnerability management processes. Today, BBPs platform providers are now cooperating with key public institutions to run customised programmes adapted to their needs and IT infrastructures. Further expansion is expected as long as the community can continue relying on BBPs (i.e., confidentiality of internal information and data protection) and ensuring trust between the stakeholders involved. | 脆弱性対策に関する限り、バグバウンティプログラム(BBP)は、過去数年間に著しく成長した分野である。BBPは、さまざまなタイプのサービスを提供することで、そのビジネスモデルを大幅に適応させ、その結果、ITシステムの対象範囲や脆弱性管理プロセスへの関与の度合いも異なっている。現在、BBPのプラットフォームプロバイダーは、主要な公共機関と協力し、そのニーズとITインフラに適合したカスタマイズされたプログラムを運営している。コミュニティがBBPへの信頼(内部情報の機密性、データ保護)を継続でき、関係者間の信頼が確保できる限り、さらなる拡大が期待される。 |
In terms of human capital, researchers play a fundamental role in the disclosure of vulnerabilities. Accordingly, it is interesting to understand motivations, incentives and challenges influencing researchers’ contribution. From their perspective, reputation remains as a one of the key incentives to legally report vulnerabilities, as it leads to fame and recognition. However, legal protection is also highly considered, especially because the absence, uncertainty or non-clarity of legal conditions can push to illegal channels. | 人的資本の面では、研究者が脆弱性公開の根幹を担っている。したがって、研究者の貢献に影響を与える動機、インセンティブ、課題を理解することは興味深い。研究者の観点からは、名声や認知につながるため、評判は脆弱性を合法的に報告する重要なインセンティブの一つであることに変わりはありません。しかし、特に法的条件の不在、不確実性、非明確性が違法な手段を後押しする可能性があるため、法的保護も非常に重要視されている。 |
Collaborative challenges arise in the use of tools to improve vulnerability disclosure processes. For example, when looking into vulnerabilities related to open-source software (OSS) and considering how intertwined commercial and OSS are today, a need to further improve coordination between OSS developers and private vendors was identified. Aspects such as OSS vulnerability handling, responsibility and accountability are not yet clearly defined and among actors involved across the IT product supply chains, which may hinder coordination efforts. | 脆弱性の開示プロセスを改善するためのツールの使用において、共同的な課題が発生します。例えば、オープンソースソフトウェア(OSS)に関する脆弱性を調査し、今日、商用とOSSがいかに絡み合っているかを考慮すると、OSS開発者と民間ベンダーとの間の連携をさらに改善する必要性があることが明らかになりました。OSSの脆弱性対応、責任、アカウンタビリティなどの側面は、IT製品のサプライチェーンを超えて関係者間でまだ明確に定義されておらず、調整の努力を阻害する可能性がある。 |
Challenges related to technical and technological issues also constitute a key area of discussion and analysis. A forward-looking perspective on the use of automation as an enabler to efficiently manage vulnerability identification, sourcing and classification is also provided by this report. It is observed that, as vulnerability analysis and treatment still require human expertise, the risk of deskilling experts due to automated processes may be minimised. | また、技術的・技能的な課題も重要な議論・分析対象である。本報告書では、脆弱性の特定、調達、分類を効率的に管理するための実現手段としての自動化の利用について、将来を見据えた視点も提供されている。脆弱性の分析と治療には依然として人間の専門知識が必要であるため、自動化されたプロセスによって専門家が不足するリスクは最小化される可能性があることが確認されている。 |
Finally, alignment across different legislation as well as cooperation between industry players and governments are needed to avoid silos. Harmonisation of CVD practices, coordination and international cooperation among players are essential priorities both from a legal and technical perspectives. In this regard, ENISA will continue offering advice, publishing guidelines, promoting information sharing, raising awareness, and coordinating CVD-related activities at national and EU level. | 最後に、縦割り行政を避けるためには、異なる法律間の調整と、業界関係者と政府間の協力が必要である。CVD実務の調和、関係者間の調整と国際協力は、法律と技術の両面から不可欠な優先事項である。この点に関して、ENISAは引き続き助言を提供し、ガイドラインを発行し、情報共有を促進し、意識を高め、国およびEUレベルでのCVD関連活動の調整を図っていく予定である。 |
Comments