1 JPCERT/CC脆弱性ハンドリングワークショップ

JPCERT/CCは2003/10にNISCCからS/MIME,OpenSSL,X.400のコーディネーション依頼があったけど、コンタクトすべきベンダーがあまり把握できておらず、満足な結果とはならなかったらしい。その結果(?)、JPCERT/CCとして脆弱性情報ハンドリングできるような仕組み作りとして、CERT/CCと連携する今回の話がでてきたようだ。理由としては、脆弱性情報が公開してから、exploit,ワームまでのプロセスが短くなってきているというのもあげられるという感じかな。

CERT/CCは脆弱性情報の連絡を受け、信頼関係が構築できている800以上のコンタクト先(600以上ベンダー)に対し、その脆弱性が関係しそうなベンダーにコンタクトをとり情報のやりとりを行う。実際には詳細な脆弱性情報を提供したり、パッチをリリースの予定がある様々なベンダーとパッチリリースのスケジュール調整などもしているそうだ。

JPCERT/CCでは脆弱性ハンドリングを行う上で、いくつかのプロセスモデルを検討している感じみたいだが、例えばCERT/CCからJPCERT/CCに情報提供があったら、JPCERT/CCがCERT/CCで行っているようなことを日本のベンダーに対して実施する事で、日本のベンダーも脆弱性情報の公開前に影響のあるものへの対応が可能になるという具合で、それがやりたい事の１つのようだ。JPCERT/CCは詳細な脆弱性情報を提供したベンダーリストをCERT/CCに連絡したり、CERT/CCで行う脆弱性情報の公開にあたってのスケジュール調整にも入りこむという具合。

CERT/CCでは扱う情報が情報だけに現状では人という観点での信頼関係の構築や、安全な伝達手段など基盤作りが重要と考え、それを実際に取り組んでいる感じ。そこで、JPCERT/CCとしては、まず日本のハードウェアやソフトウェアベンダーを把握したいらしい。ということで、その登録受付を開始したようだ。登録したからといって、すぐにどうこうなるわけじゃなく、１つ１つJPCERT/CCと登録先が応対して顔の見える信頼関係づくりの第１歩を踏み出すような予定らしい。秘密保持契約とかも検討しているそうだが、具体的なところまで話せる程度に練れていないようだ。

今CERT/CCではどんな感じのことをやっているかというと、脆弱性がでない(ようなかな)安全なコードに関して研究中で、そこを今はポイントと考えているみたい。まだ、そのアウトプットはでてないような気がする(あったっけ？)。

プレゼンや質疑の中でJPCERT/CCには今まで脆弱性のコーディネーション依頼が幸いな事になかったらしいけど、これからはそういう話があったら取り組むような雰囲気だった。そのためにも、日本のハードウェアベンダーやソフトウェアベンダーはまずは登録しよう。

http://www.jpcert.or.jp/form/poc.txt

ただ、組織事情や職場状況によってはJPCERT/CCに登録する時点でつまづく事がありそうな気がするんだけど、どーなのかなぁ。ほら、そいうのに意識があるのは１作業者だったりすることが多くて、１作業者として登録するような感覚ではないから、JPCERT/CCがどんどん宣伝したり、登録するのはいい事だーみたいな、偉い人に目がとまるような普及活動がまずは必要な気もするけど、どうなんですかね。

とりあえず、登録しているベンダー一覧とかあるといいなぁ。

ちなむと、この取り組み自体がCERT/CCへ直接コンタクトをとる妨げになるものではないと何度かでてくる(笑

昔、某氏に脆弱性の情報ってどうやって集めてるんですか？と聞いたときに、てっきり、そういう仕組みができると思っていたら、自分で集めていると聞いて、大変だなぁと思った記憶が。JPCERT/CC様、頑張って形あり存在価値のあるものにしていってくださいませ。


[追記] 皆で幸せになれる？　JPCERT/CCが脆弱性情報の適切なハンドリングを強化(ITmedia)

2 私信チック

ワタシの会社がダメダメなのは某氏の日記でも分かるように (というか、関わった事がある人の多くはそー思ってるのでは？程度に思ってるけど(汗) ダメダメなので、気にせず、「某」はウンコと言っちゃって下さい(汗

無理してお体に差し障りがないように、落ち着いたら心身ともリフレッシュしてくださいませ。。。次回お会いできるときを楽しみしてます〜