V.S.A. III

こんにちは，五十嵐です．運用上のセキュリティを考える上で必要なのは障害と脆弱性の対応をしっかりと区別することです．

話を進める上で必要になる登場人物を定義しておきます．ここでは，Web サイトを公開しているシステムを例とします．

• サイト運営者
  Web サイトのオーナー．Web サイトを利用する方へサービスを提供します．
  
• 利用者
  Web サイトを利用する方．ブログのようなサービスの場合，ブログの作者と閲覧者がいますが，簡単化のために運営者と直接の利害関係にある利用者を顧客とします．
  
• 運用サービス・プロバイダ (OSP: Operation Service Providor / FSP: Facility Service Providor)
  運用者．日々のオペレーションを行う方．ハウジングやホスティング，iDC などの設備において，ファシリティを提供する方も含みます．
  
• マネージド･サービス･プロバイダ (MSP: Managed Service Providor)
  監視や障害のコールセンターなどを行う方．
  
• 保守サービス･プロバイダ (mSP: Maintenance Service Providor)
  システムのメンテナンスやソフトウェアの改修などを行う方．
  
• 脆弱性発見者
  Web サイトの脆弱性を発見した方．利用者の一人と考えればよいでしょう．

だいたい，このような方々が登場します．リソースなどの関係で，いずれかを兼任する場合もあるかもしれませんが，ここでは役割として分離して考えます．

障害が発生すると迷惑がかかるのは利用者です．運営者の利益も損なう可能性があります．

脆弱性の場合に迷惑がかかるのは，利用者はもちろんですが，Web サイトを踏み台にして他のサイトにも及ぶことも考えられます．運営者の利益は損なわないかもしれませんが，信用を損ないます．放置すれば，情報漏洩などにつながるばかりではなく，他のサイトへの踏み台として加害者になる可能性もあります．

障害対応では，障害の情報は MSP や OSP/FSP が発見し，マニュアル等に対応が記載されていないものや通知することになっている障害であれば，運営者や mSP へエスカレーションされます．その後，mSP が対応方法を考え，運営者と協議の上，対応を決めます．利用者に影響がある場合には，この段階で速やかに障害情報を出します．
脆弱性の場合には，脆弱性発見者がどこに連絡を行うかによって流れが変わります．Web サイトに書かれたメールアドレスなどへ連絡する場合では，おそらく MSP か運営者のもとに情報が伝わります．そうでない場合には，経済産業省の告示に従って，IPA (情報処理推進機構) の窓口へ通知します．IPA は Web サイトの情報などから，MSP または運営者へ脆弱性があることを伝えます．mSP に情報が伝わり，改修などの対応を運営者とともに検討することは障害の場合と同じですが，対応策が行われるまで，脆弱性情報については公表しません．
IPA などと相談の上，公表する日を取り決め，脆弱性の発見者にそれまでの口外を控えていただくように依頼します．改修を行った後，そのような脆弱性があったことを公開します．

このような流れの区別をしっかりと把握することで，運用者が行わなければならないことが見えてくるようになります．

参考資料： 脆弱性関連情報の取扱い (IPA:独立行政法人 情報処理推進機構)

カテゴリ：情報セキュリティ

<< 運用のセキュリティ | Main | 脆弱性関連情報の取扱い - 運用セキュリティ #2 >>