« BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も... | Main | 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4? »

2023.08.28

米国 CISA 脆弱性情報開示方針プラットフォーム2022年版年次報告書

こんにちは、丸山満彦です。

脆弱性情報開示方針プラットフォーム2022年版年次報告書を公表していますね。。

VDPを導入すると、脆弱性報告件数が劇的に向上したようですね。。。

平均では、導入前の四半期で3件が、導入後は67件に...

 

提出された脆弱性:4,091
トリアージチームがレビューした一意の脆弱性:1,330
トリアージチームが検証した一意の脆弱性:1,119

改善に要した平均日数は平均38日
レビューした脆弱性の84%が改善された

レビューした一意の脆弱性:1,330のうち、

低い/ 情報提供:299
中程度:757
重度:82
重大:192

 

CISA

・2023.08.25 CISA’s VDP Platform 2022 Annual Report Showcases Success

CISA’s VDP Platform 2022 Annual Report Showcases Success CISAのVDPプラットフォーム2022年次報告書が成功を示す
Today, the Cybersecurity and Infrastructure Security Agency (CISA) released its inaugural Vulnerability Disclosure Policy (VDP) Platform 2022 Annual Report, highlighting the service’s progress supporting vulnerability awareness and remediation across the Federal Civilian Executive Branch (FCEB). This report showcases how agencies have used the VDP Platform—launched in July 2021—to safeguard the FCEB and support risk reduction. The VDP platform gives federal agencies a single, user-friendly interface to intake vulnerability information and to collaborate with the public researcher community for vulnerability awareness and remediation. サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、脆弱性情報開示方針(VDP)プラットフォーム2022年版年次報告書を発表し、連邦文民行政機関(FCEB)全体の脆弱性認識と修復を支援する同サービスの進捗状況を紹介した。この報告書では、2021年7月に開始されたVDPプラットフォームを連邦政府機関がどのように利用し、FCEBを保護し、リスク削減を支援してきたかが紹介されている。VDPプラットフォームは、脆弱性情報を取り込み、脆弱性の認識と是正のために公的研究者コミュニティと協力するための、単一の使いやすいインタフェースを連邦機関に提供する。
CISA urges FCEB agencies to review the VDP Platform 2022 Annual Report and encourages use of the platform to promote good-faith security research if they are not already doing so. By promoting an agency’s VDP to the public security researcher community, the platform benefits users by harnessing researchers’ expertise to search for and detect vulnerabilities that traditional scanning technology might not find. CISAは、FCEB機関に対し、VDPプラットフォーム2022年版年次報告書を確認するよう促し、まだ実施していない場合は、善意のセキュリティ研究を促進するために同プラットフォームを利用するよう奨励する。公的セキュリティ研究者コミュニティに機関のVDPを促進することで、従来のスキャン技術では発見できないような脆弱性を研究者の専門知識を活用して検索・検出することができ、プラットフォームは利用者に利益をもたらす。
CISA is actively seeking to enhance future collaborations with the public security researcher community and welcomes participation and partnership. CISAは、公共セキュリティ研究者コミュニティとの今後の協力関係の強化を積極的に模索しており、参加とパートナーシップを歓迎している。

 

Vulnerability Disclosure Policy (VDP) Platform

Vulnerability Disclosure Policy (VDP) Platform 脆弱性開示ポリシー(VDP)プラットフォーム
Description 説明
Every day, security researchers find and enable remediation of vulnerabilities in products and assets around the world. CISA launched the Vulnerability Disclosure Policy (VDP) Platform in July 2021 to ensure that federal civilian executive branch agencies benefit from the expertise of the research community and effectively implement Binding Operational Directive 20-01, Develop and Publish a Vulnerability Disclosure Policy. The VDP Platform promotes good-faith security research for improved security and coordinated vulnerability disclosure across the Federal Civilian Executive Branch (FCEB). セキュリティ研究者は毎日、世界中の製品や資産の脆弱性を発見し、その改善を可能にしている。CISAは、連邦文民行政機関が研究コミュニティの専門知識の恩恵を受け、拘束的運用指令20-01「脆弱性開示方針の策定と公表」を効果的に実施できるようにするため、2021年7月に脆弱性開示方針(VDP)プラットフォームを立ち上げた。VDPプラットフォームは、連邦文民行政機関(FCEB)全体のセキュリティ改善と協調的な脆弱性開示のための誠実なセキュリティ研究を促進する。
CISA’s VDP Platform helps agencies streamline day-to-day operations when disclosing and managing cyber vulnerabilities. The Platform serves as the primary point of entry for receiving, triaging, and routing vulnerabilities disclosed by public researchers. The VDP Platform enhances information-sharing across the FCEB by improving how agencies receive, track, analyze, report, manage, and communicate potential vulnerabilities. Agencies use the VDP Platform to receive actionable vulnerability information and collaborate with the public to improve the security of their internet-accessible systems. CISAのVDPプラットフォームは、各省庁がサイバー脆弱性を開示・管理する際の日常業務の合理化を支援する。同プラットフォームは、一般研究者が開示した脆弱性の受信、トリアージ、ルーティングを行うための主要な入口として機能する。VDPプラットフォームは、各機関が潜在的脆弱性を受信、追跡、分析、報告、管理、コミュニケーションする方法を改善することで、FCEB全体の情報共有を強化する。各省庁はVDPプラットフォームを利用して、実用的な脆弱性情報を入手し、インターネットにアクセス可能なシステムのセキュリティ改善のために一般ユーザーと協力する。
On Aug 25, 2023, CISA published its inaugural report, VDP Platform 2022 Annual Report, highlighting the agency's progress supporting vulnerability awareness and remediation across the federal enterprise. We are actively seeking to enhance future collaborations with the public security researcher community and welcome participation and partnership. CISA looks forward to the continued improvement and growth of the VDP Platform through 2023 and beyond.  2023年8月25日、CISAは、連邦エンタープライズ全体の脆弱性認識と是正を支援する同機関の進捗状況を紹介する、設立報告書「VDP Platform 2022 Annual Report」を発表した。われわれは、公的セキュリティ研究者コミュニティとの今後の協力関係の強化を積極的に模索しており、参加とパートナーシップを歓迎する。CISAは、2023年以降もVDPプラットフォームの継続的な改善と成長を期待している。
Any agency interested in participating or receiving additional information should contact CISA’s Cybersecurity Shared Services Office VDP Platform Team at [mail] 参加または追加情報の入手に関心のある機関は、CISAのサイバーセキュリティ・シェアードサービス・オフィスVDPプラットフォーム・チーム[mail]
まで連絡されたい。
For more information on the VDP Platform, please reference the following resources. VDPプラットフォームの詳細については、以下のリソースを参照されたい。
VDP Platform Resources VDPプラットフォームのリソース
VDP PLATFORM FACT SHEET ・VDPプラットフォーム・ファクトシート
VDP PLATFORM ANNUAL REPORT ・VDPプラットフォーム年次報告書
Links リンク
VDP PLATFORM 2022 ANNUAL REPORT SHOWCASES PLATFORM'S SUCCESS  ・VDPプラットフォーム2022年次報告書:プラットフォームの成功を紹介する 
VIDEO: VULNERABILITY DISCLOSURE POLICY (VDP) PLATFORM 101  ・ビデオ 脆弱性開示ポリシー(VDP)プラットフォーム101 
CISA ANNOUNCES VULNERABILITY DISCLOSURE POLICY (VDP) PLATFORM  ・CISAは脆弱性開示ポリシー(VDP)プラットフォームを発表した。

 

・[PDF] Fact Sheet

VULNERABILITY DISCLOSURE POLICY PLATFORM FACT SHEET 脆弱性開示方針プラットフォームのファクトシート
BACKGROUND  背景 
The Cybersecurity and Infrastructure Security Agency (CISA) established the Vulnerability Disclosure Policy (VDP) Platform to improve the security of federal agencies’ internet-accessible systems through a centrally managed vulnerability intake system. The VDP Platform was fully authorized to operate in March 2022 and has since furthered:   サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は、一元管理された脆弱性インテーク・システムを通じて連邦政府機関のインターネットにアクセス可能なシステムのセキュリティを改善するため、脆弱性開示ポリシー(VDP)プラットフォームを設立した。VDPプラットフォームは、2022年3月に完全に運用が許可され、それ以来さらに強化されている:  
•   Binding Operational Directive (BOD) 20-01, which requires agencies to develop and publish a VDP;   ・ 拘束的運用指令(BOD)20-01は、各機関にVDPの策定と公開を義務付けている;  
•   BOD 22-01, which focuses on reducing the risk of known exploited vulnerabilities (KEVs); and   ・ BOD 22-01は、既知の脆弱性(KEV)のリスク軽減に重点を置いている。 
•   Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” which seeks to improve agency vulnerability management capabilities, among other goals.   ・ 大統領令(EO)14028「国のサイバーセキュリティの改善」は、特に省庁の脆弱性管理能力の向上を目指している。 
PURPOSE  目的 
The VDP Platform promotes good faith security research to achieve improved security and coordinated disclosure across the federal civilian enterprise. The VDP Platform also improves vulnerability detection on federal networks by enabling participating agencies to benefit from timely reporting that, in turn, facilitates prompt remediation. Finally, the VDP Platform helps agencies comply with EO 14028 by generating greater agency user awareness of existing vulnerabilities.    VDP プラットフォームは、誠実なセキュリティ研究を促進し、連邦政府民間エンタープライズ全体 のセキュリティ改善と協調的な情報公開を実現する。また、VDP プラットフォームは、参加機関がタイムリーな報告を受けることで、連邦政府ネットワーク上の脆弱性検知を改善し、迅速な是正を促進する。最後に、VDP プラットフォームは、既存の脆弱性に関するユーザーの認識を高めることで、EO 14028 の遵守を支援する。  
FUNCTIONALITY  機能 
CISA’s VDP Platform provides a primary entry point for vulnerability reporters and alerts participating agencies to potential issues on federal information systems. At a high level, the service:  CISAのVDPプラットフォームは、脆弱性報告者のための主要なエントリー・ポイントを提供し、参加機関に連邦情報システム上の潜在的な問題を警告する。高レベルでは、このサービスは以下のことを行う: 
•   Screens spam and performs base-level validation on submitted reports.  ・スパムを選別し,提出された報告に対して基本レベルの検証を行う。
•   Flags vulnerabilities and links reports that are related by vulnerability type, reporter, and more.  ・ 脆弱性にフラグを付け、脆弱性の種類や報告者などに関連する報告をリンクする。
•   Provides a web-based communication mechanism between reporter and agency.  ・報告者と機関間のウェブベースのコミュニケーション・メカニズムを提供する。
•   Allows users to create and manage role-based accounts for their organization and suborganizations.  ・ユーザが組織およびサブ組織の役割ベースのアカウントを作成および管理できるようにする。
•   Offers an application programming interface to take various actions on vulnerability reports, such as pulling reports into agency ticketing systems.  ・ アプリケーション・プログラミング・インタフェースを提供し、脆弱性レポートに対するさまざまなアクション(レポートを機関の発券システムに取り込むなど)を実行できる。
•   Delivers reporting metrics, minimizing agency burden in complying with BOD 20-01’s requirements.  ・ BOD 20-01の要件に準拠する際の機関の負担を最小化する報告指標を提供する。
•   Alerts reporter and agency users on updates from CISA, based on events of interest and metrics approaching or hitting defined thresholds.  ・関心のあるイベントや,定義されたしきい値に近づいたり当たったりするメトリクスに基づいて,CISAからの更新を報告者や機関のユーザーに警告する。
VALUE 価値
CISA’s VDP Platform offers several benefits for its users, including:  CISAのVDPプラットフォームは、ユーザーに以下のようなメリットを提供する: 
•   Compliance With Federal Requirements: CISA centrally manages the VDP Platform, ensuring compliance with government-wide standards, policy, and business requirements.  連邦要件への準拠: CISAがVDPプラットフォームを一元管理し,政府全体の標準,ポリシー,ビジネス要件へのコンプライアンスを確保する。
•   Reduced Agency Burden: CISA hosts the VDP Platform, manages administrative responsibilities, and provides user management and support. The service includes initial triaging related to validity, which assists with timely validation of reports.  省庁の負担軽減: CISAはVDPプラットフォームをホストし,管理責任を管理し,ユーザー管理とサポートを提供する。このサービスには,有効性に関する初期トリアージが含まれ,レポートのタイムリーな検証を支援する。
•   Improved Information Sharing Across Federal Civilian Enterprise: By enabling CISA to maintain insight into disclosure activities, the VDP Platform improves information sharing across the federal civilian enterprise. Data from the platform has now been incorporated into CISA’s vulnerability management products, such as its Insights reports.   連邦民間エンタープライズ全体の情報共有の改善: CISAが情報開示活動を把握できるようにすることで、VDPプラットフォームは連邦民間エンタープライズ全体の情報共有を改善する。同プラットフォームからのデータは現在、CISAの脆弱性管理製品(Insightsレポートなど)に組み込まれている。 
•   Automated KEVs Support: The VDP Platform facilitates agency compliance with BOD 22-01 by providing automated support to help agencies match submissions with KEVs in the CISA-managed Known Exploited Vulnerabilities Catalog.   自動KEVsサポート: VDPプラットフォームは、CISAが管理するKnown Exploited Vulnerabilities Catalog(既知の脆弱性カタログ)のKEVsと提出書類の照合を支援する自動化されたサポートを提供することで、BOD 22-01への準拠を促進している。 
•   Centralized Access Point for Researchers: Participating agencies can choose to host their VDP on the vendor’s website, generating increased visibility and public researcher engagement opportunities.   研究者のための集中型アクセス・ポイント: 参加機関は,VDPをベンダーのWebサイトでホストすることを選択でき,可視性の向上と一般研究者の参加機会を創出する。
•   Automated Metrics and Reports: The VDP Platform automatically generates reporting metrics to satisfy BOD 20-01 requirements and submits these on behalf of the agency. The service further alleviates reporting burdens by automatically generating the following metrics: 
自動化されたメトリクスとレポート: VDPプラットフォームは、BOD 20-01の要件を満たす報告指標を自動生成し、代理で提出する。このサービスでは、以下の評価指標を自動生成することで、報告の負担をさらに軽減している。
ー  Number of valid reports  ー 有効な報告数
ー  Number of currently open and valid reported vulnerabilities  ー 現在オープンかつ有効な脆弱性の報告数
ー  Median age of open and valid reported vulnerabilities  ー オープンかつ有効な脆弱性報告の年齢中央値
ー Median age of reports older than 90 days  ー 90 日以上経過したレポートの中央値 
ー  Number of currently open and valid vulnerabilities older than 90 days from report receipt  ー レポート受領から 90 日以上経過した、現在オープンかつ有効な脆弱性の数 
ー  Number of all reports older than 90 days, sorted by risk/priority level  ー リスク/優先度レベル別に分類した、90 日以上経過した全報告の件数 
ー  Time needed to validate and mitigate submitted vulnerabilities and reports  ー 提出された脆弱性及びレポートの妥当性確認と低減に要した時間
ー  Time needed to initially respond to the reporter  ー 報告者への初期対応に要する時間
ROLES AND RESPONSIBILITIES  役割と責任 
CISA’s VDP Platform is a software-as-a-service application designed to alert participating agencies about issues on their internet-accessible systems. However, vulnerability remediation on federal information systems will remain the responsibility of the agencies operating those networks. A breakdown of roles is as follows:  CISAのVDPプラットフォームは、インターネットにアクセス可能なシステム上の問題について参加機関に警告するよう設計された、サービスとしてのソフトウェア・アプリケーションである。しかし、連邦政府の情報システムにおける脆弱性の修復は、それらのネットワークを運用する機関の責任に留まる。役割の内訳は以下の通りである: 
•   Vulnerability Reporters: Utilize the VDP Platform as a central place to report vulnerabilities in federal systems of participating agencies.  脆弱性報告者: 参加省庁の連邦システムの脆弱性を報告する中心的な場所として,VDPプラットフォームを活用する。
•   Platform Vendor (EnDyna/Bugcrowd): Provides screening and initial triage to validate vulnerabilities.  プラットフォーム・ベンダー(EnDyna/Bugcrowd): 脆弱性を検証するためのスクリーニングと初期トリアージをプロバイダとして提供する。
•   CISA: Maintains insight into disclosure activities but does not actively participate in disclosure remediation processes. (CISA will have read-only access to all agency reports to view aggregate statistical data and reports.)  CISA: CISA:情報開示活動に対する洞察を維持するが、情報開示の是正プロセスには積極的に参加しない。(CISAは、統計データおよびレポートの集計を閲覧するために、全機関のレポートへの読み取り専用アクセス権を有する)。
•   User Agency: Maintains a separate profile in the VDP Platform. By logging into the platform’s interface, users can see an agency dashboard with a list of submissions and general statistics.  ユーザー機関: VDP プラットフォームで個別のプロファイルを維持する。同プラットフォームのインターフェイスにログインすることで,ユーザは,提出書類のリストおよび一般的な統計情報を含むエージェンシー・ダッシュボードを見ることができる。
SIGN-UP サインアップ
CISA will fund all costs associated with the platform through February 2025. The platform is free to all federal civilian executive branch agencies that fall under CISA’s authorities. CISA will work with agencies to configure VDP Platform service in response to their requests. Any agency interested in participating or receiving additional information should contact [mail]
CISAは2025年2月まで、プラットフォームに関連するすべての費用を負担する。このプラットフォームは、CISAの権限下にある連邦文民行政機関すべてに無料で提供される。CISAは各省庁と協力し、各省庁の要望に応じてVDPプラットフォーム・サービスを構成する。参加または追加情報の入手に関心のある機関は、[mail]

 

・[PDF] VDP PLATFORM ANNUAL REPORT

20230828-144025

 

EXECUTIVE SUMMARY 要旨
The Cybersecurity and Infrastructure Security Agency (CISA) leads the national effort to understand, manage, and reduce risk to our cyber and physical infrastructure. We connect our stakeholders in industry and government to each other and to resources, analyses, and tools to help them build their own cyber, communications, and physical security and resilience, in turn helping to ensure a secure and resilient infrastructure for the American people. サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバーおよび物理インフラに対するリスクを理解、マネジメント、低減するための国家的取り組みを主導している。CISAは、産業界と政府の利害関係者を相互に結びつけ、リソース、分析、ツールを提供することで、各自のサイバー、コミュニケーション、物理的セキュリティとレジリエンスの構築を支援し、ひいては米国民のために安全で回復力のあるインフラを確保することに貢献している。
CISA is excited to share the progress achieved by its Vulnerability Disclosure Policy (VDP) Platform that was developed to support vulnerability awareness and remediation across the federal enterprise. The VDP Platform launched in July 2021, and it has since supported the Executive Order on Improving the Nation’s Cybersecurity signed by President Biden on May 12, 2021. The Executive Order tasks federal agencies with rapidly boosting their capability to identify, deter, and respond to the increasingly sophisticated cyber campaigns and malicious actors that threaten the security of public and private systems and data. In collaboration with other CISA services and teams, the VDP Platform aligns to these national cybersecurity priorities by providing a modern, user-friendly interface that strengthens the federal vulnerability management process; increases insight into individual agency vulnerability disclosures; reduces the administrative, triage and reporting burdens agencies face; and, due to CISA’s central visibility throughout the VDP Platform, enhances the sharing of cyber threat intelligence information and best practices. As the first cybersecurity service launched by CISA’s Cybersecurity Shared Services Office (CSSO), the VDP Platform has onboarded 40 agency programs and has received over 1,300 valid disclosures, approximately 85% of which have been remediated. Working across CISA and through collaboration and partnership, the VDP Platform improves vulnerability management and compliance reporting for the federal enterprise. The VDP Platform provides agencies with an ease of access to a worldwide community of public security researchers whose skills and perspectives the agencies may leverage. CISAは、連邦エンタープライズ全体の脆弱性認識と是正を支援するために開発された脆弱性開示方針(VDP)プラットフォームが達成した進展を共有できることをうれしく思う。VDPプラットフォームは2021年7月に開始され、それ以来、2021年5月12日にバイデン大統領が署名した「国家のサイバーセキュリティ改善に関する大統領令」をサポートしてきた。大統領令は、公共および民間のシステムやデータのセキュリティを脅かす、ますます巧妙化するサイバーキャンペーンや悪意ある行為者を特定し、抑止し、対応する能力を迅速に高めることを連邦機関に課している。VDPプラットフォームは、CISAの他のサービスやチームと連携して、連邦政府の脆弱性管理プロセスを強化し、各機関の脆弱性開示に対する洞察を深め、各機関が直面する管理、トリアージ、報告の負担を軽減し、VDPプラットフォーム全体でCISAが一元的に可視化されることにより、サイバー脅威インテリジェンス情報とベストプラクティスの共有を強化する、最新の使いやすいインターフェイスをプロバイダとして提供することで、こうした国家的サイバーセキュリティの優先事項に沿ったものとなっている。CISAのサイバーセキュリティ・シェアード・サービス・オフィス(CSSO)が開始した最初のサイバーセキュリティ・サービスとして、VDPプラットフォームは40の省庁のプログラムに導入され、1,300件以上の有効な情報開示を受け、そのうち約85%は改善されている。VDPプラットフォームは、CISAの枠を超え、協力とパートナーシップを通じて、連邦エンタープライズの脆弱性管理とコンプライアンス報告を改善する。VDPプラットフォームは、公共セキュリティ研究者の世界的コミュニティへのアクセスを容易にするプロバイダであり、そのスキルや視点を活用することができる。

 

目次...

Executive Summary エグゼクティブサマリー
VDP Platform Overview VDPプラットフォームの概要
Background: Why are VDPs Important? 背景 なぜVDPが重要なのか?
Binding Operational Directive 20-01  拘束的運用指令20-01 
The VDP Platform  VDPプラットフォーム 
How the VDP Platform Supports Agencies  VDPプラットフォームはどのようにエージェンシーをサポートするか 
 Strategic Functions  戦略的機能 
VDP Platform Insights   VDPプラットフォームの洞察  
VDP Platform Timeline and Milestones  VDPプラットフォームのタイムラインとマイルストーン 
Potential Cost Savings Estimates   コスト削減の可能性  
Impact and Severity of the Top Vulnerability Types  上位脆弱性タイプの影響度と深刻度 
Success Story Spotlights: Agencies and Researcher Communities  サクセスストーリーのスポットライト 機関および研究者コミュニティ 
VDP Platform’s Bug Bounty Capability   VDPプラットフォームのバグ報奨金機能  
What is a Bug Bounty? 7 バグ報奨金とは何か?7
How the VDP Platform Supports Bug Bounties  VDPプラットフォームがバグ報奨金をサポートする仕組み 
The VDP Platform Bug Bounty Pilot  VDPプラットフォームのバグ報奨金パイロット 
Bug Bounty Metrics バグ報奨金の指標

 

|

« BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も... | Main | 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4? »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も... | Main | 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4? »