V.S.A. III

脆弱性関連情報の取扱い - 運用セキュリティ #2

こんにちは，五十嵐です．昨日の「障害情報ハンドリングと脆弱性情報ハンドリング - 運用セキュリティ #1」では，突然「IPA (独立行政法人情報処理推進機構)」の名前が出てきました．実は，「運用」だけを見た場合，脆弱性情報の取り扱いにはほとんどかかわりません．しかし，運用と保守が兼任，あるいは一部重なるようなケースでは，考慮しておく必要があります．保守だけではなく，何かの役割を兼任する場合には知っておかなければなりません．

経済産業省の告示があり，それに対する各業界団体のガイドラインが公開されていますが，運用・保守という面では，JISA のガイダンスを参考にすると良いと思います．SI 事業者を対象に書かれている文書です．

これらを読んでいただくのが手っ取り早いのですが，Web サイトの場合について簡単に言ってしまうと，IPA が窓口を持っていて，そこに Web サイトの脆弱性に関する情報が寄せられると，IPA からサイト運営者に連絡が来ます．利用者から直接連絡が来た場合でも，IPA に調整をお願いすることが出来ます．このような体制を作るための礎となっているのが経済産業省の告示になります．また，この脆弱性情報ハンドリングのための体制を「情報セキュリティ早期警戒パートナーシップ」と呼んでいます．

運用者がこのパートナーシップの中に現れるのは，運用者が脆弱性を見つけた場合か，脆弱性を一時的に回避するような操作を依頼される場合に限ります．したがって，それほど神経質になる必要はないのですが，上に書いたようなパートナーシップの体制があり，その一部のメンバーとして動く必要があるという意識は，作業者それぞれも持っていなければなりません．

特に，運用と保守のメンバーが一部あるいは全部兼任するような場合には注意が必要です．保守サービス側には脆弱性関連情報が伝えられますが，それを不用意に運用者に漏らさないようにしなければなりません．コントロールできる最小限の範囲で，脆弱性についての対応が求められます．

知らなければ漏洩させることはできません．この点は重要です．知っていたがためにうっかり何らかの情報を漏らしてしまい，それが脅威に発展して被害にあうことも防がねばなりませんし，このときに情報を漏らしてしまったメンバーには何らかの処罰があるかもしれません．知らせないことは，脅威から守るだけでなく，運用者自身を守ることにもなるのです．

そのためには，脆弱性情報をコントロールすることが必要になります．脆弱性情報をコントロールする組織は一般に CSIRT (Computer Security Incident Response Team) と呼ばれます．運営者は CSIRT を準備し，システム全体を動かすためにかかわるすべての人たちにその存在を認知させるとともに，脆弱性が発見された場合の情報の流れと，秘密の情報が拡散しないためのコントロールを行わなければなりません．外部とのやり取りを行う窓口部分を POC (Point of Contact) と呼びますが，この POC を担当する方は，技術用語とセキュリティ用語を解する必要があります．それは，脆弱性発見者からの通知を速やかに正しく理解し，情報を必要な部署に正確に伝えなければならないからです．

運用者にどの程度脆弱性に関する情報が渡されることになっているのかを運用者は事前に知っておいた方がいいですし，運営者は運用者への情報のハンドリングを事前に取り決めておく必要があります．運用者には脆弱性情報が全く渡されないというのも一つの選択肢です．

こんな記事が出ていました．