脆弱性情報はこうして やってくる JPCERT/CC 情報流通対策グループ ⼾⽥洋三 2016.09.26 Vuls 祭り#1
Copyright ©2016 JPCERT/CC All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト 戸田...
Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCとは JPCERT Coordination Center 日本における情報セキュリティ 対策活動の向上に取り組んでい る組織 2
Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCの主な活動 3
Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 4 https://raw.githubusercontent.com/future-architect/vuls/master/img/...
Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 5 ここができるまでの あれこれを紹介します。 https://raw.githubusercontent.com/future-arch...
Copyright ©2016 JPCERT/CC All rights reserved. JVN とは? 6 JVN JVN.JP Japan Vulnerability Notes 脆弱性関連情報とその対策情報を提供し、情報セキュリティ対...
Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 7 https://jvn.jp/ http://jvndb.jvn.jp/
Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 8 https://jvn.jp/ http://jvndb.jvn.jp/ Vuls が参照してい るのは ...
Copyright ©2016 JPCERT/CC All rights reserved. JVN iPedia とは? 9 JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国 内外問わず公開された脆弱性対策情報を広く公開対象...
Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: JVNとiPediaの役割分担 10 JVNiPedia JVN ベンダとの調整の結果、公 開に⾄った脆弱性情報を迅 速に掲載...
Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: 情報の流れ 11 CVE(MITRE) JVNiPedia JVN NVD(NIST) ………………
Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 12 •経済産業省告⽰ •情報セキュリティ早期警戒パートナー シップ
Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 13 •経済産業省告⽰ http://www.meti.go.jp/policy/netsecurity/vulh...
Copyright ©2016 JPCERT/CC All rights reserved. 受付機関と調整機関 14 受付機関: IPA IPA セキュリティセンター 調整機関: JPCERT/CC JPCERT/CC 情報流通対策グループ
Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その2) 15 •情報セキュリティ早期警戒パートナー シップ IPA, JPCERT/CC, JEITA, JISA, JP...
Copyright ©2016 JPCERT/CC All rights reserved. 届出⇒調整⇒公開 16 https://www.jpcert.or.jp/vh/fig1.gif
Copyright ©2016 JPCERT/CC All rights reserved.17 CVE はどうなってるの?
Copyright ©2016 JPCERT/CC All rights reserved. CVE 管理の仕組み 18 CVE: Common Vulnerabilities and Exposures ⽶国 MITRE が管理運営 割り当て...
Copyright ©2016 JPCERT/CC All rights reserved. 参考: oss-security メーリングリスト 19 オープンソース製品に対する CVE 割り当てリクエストと 応答の様⼦が垣間⾒られる http...
Copyright ©2016 JPCERT/CC All rights reserved. おさらい 20 脆弱性発⾒! 届出 調整 公開 Vulsで活⽤!
Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (最近の情報) Japan Vulnerability Notes (https://jvn.jp/) JVN iPedia (http:/...
Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (過去の経緯を知るための情報) 脆弱性関連情報取り扱い説明会 (http://www.ipa.go.jp/security/vuln/eve...
Copyright ©2016 JPCERT/CC All rights reserved. お問合せ等の連絡先はこちら 23 JPCERTコーディネーションセンター (https://www.jpcert.or.jp) 情報流通対策グループ ...
Copyright ©2016 JPCERT/CC All rights reserved.24 Thank you!
Upcoming SlideShare
Loading in …5
×

脆弱性情報はこうしてやってくる

272 views

Published on

Vuls祭り#1 での講演資料です.

Published in: Internet
0 Comments
3 Likes
Statistics
Notes
no profile picture user

  • Be the first to comment

No Downloads
Views
Total views
272
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
3
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

脆弱性情報はこうしてやってくる

  1. 1. 脆弱性情報はこうして やってくる JPCERT/CC 情報流通対策グループ ⼾⽥洋三 2016.09.26 Vuls 祭り#1
  2. 2. Copyright ©2016 JPCERT/CC All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト 戸田 洋三 脆弱性情報分析, セキュアコー ディング普及啓発活動…… に努めてます 1
  3. 3. Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCとは JPCERT Coordination Center 日本における情報セキュリティ 対策活動の向上に取り組んでい る組織 2
  4. 4. Copyright ©2016 JPCERT/CC All rights reserved. JPCERT/CCの主な活動 3
  5. 5. Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 4 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
  6. 6. Copyright ©2016 JPCERT/CC All rights reserved. お話の内容 5 ここができるまでの あれこれを紹介します。 https://raw.githubusercontent.com/future-architect/vuls/master/img/vuls-architecture.png
  7. 7. Copyright ©2016 JPCERT/CC All rights reserved. JVN とは? 6 JVN JVN.JP Japan Vulnerability Notes 脆弱性関連情報とその対策情報を提供し、情報セキュリティ対 策に資することを目的とする脆弱性対策情報ポータルサイトで す。脆弱性関連情報の受付と安全な流通を目的とした「情報セ キュリティ早期警戒パートナーシップ」に基いて、2004年7月よ りJPCERT コーディネーションセンターと独立行政法人情報処 理推進機構 (IPA)が共同で運営しています。 https://jvn.jp/nav/jvn.html
  8. 8. Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 7 https://jvn.jp/ http://jvndb.jvn.jp/
  9. 9. Copyright ©2016 JPCERT/CC All rights reserved. あなたの知っている JVN はどっち? 8 https://jvn.jp/ http://jvndb.jvn.jp/ Vuls が参照してい るのは JVN iPedia.
  10. 10. Copyright ©2016 JPCERT/CC All rights reserved. JVN iPedia とは? 9 JVN iPediaは…JVNに掲載される脆弱性対策情報のほか、国 内外問わず公開された脆弱性対策情報を広く公開対象とし、 データベースとして蓄積しています。 一方、JVNでは、…早期警戒パートナーシップで取扱われた脆 弱性関連情報や、協力関係を結んでいる海外のCERT等から の脆弱性対策情報を掲載しています。 http://jvndb.jvn.jp/nav/jvndb.html 脆弱性対策情報が公表されてから一週間程度を目安に公開し ています。 JVN に掲載される情報(VN-JP、VN-VU、TA)のほか、米国 NISTが運営するNVDおよび国内ベンダから情報収集していま す。
  11. 11. Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: JVNとiPediaの役割分担 10 JVNiPedia JVN ベンダとの調整の結果、公 開に⾄った脆弱性情報を迅 速に掲載。 基本的には JVN と NVD の データをもとに構成。 データの蓄積と検索機能を 重視。
  12. 12. Copyright ©2016 JPCERT/CC All rights reserved. つまり、こーいうこと: 情報の流れ 11 CVE(MITRE) JVNiPedia JVN NVD(NIST) ………………
  13. 13. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 12 •経済産業省告⽰ •情報セキュリティ早期警戒パートナー シップ
  14. 14. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その1) 13 •経済産業省告⽰ http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html ソフトウエア等脆弱性関連情報取扱基準 (2004年7⽉制定) http://www.meti.go.jp/policy/netsecurity/vulinfo.html
  15. 15. Copyright ©2016 JPCERT/CC All rights reserved. 受付機関と調整機関 14 受付機関: IPA IPA セキュリティセンター 調整機関: JPCERT/CC JPCERT/CC 情報流通対策グループ
  16. 16. Copyright ©2016 JPCERT/CC All rights reserved. ⽇本国内の情報流通体制 (その2) 15 •情報セキュリティ早期警戒パートナー シップ IPA, JPCERT/CC, JEITA, JISA, JPSA(現CSAJ), JNSA が連名で「情報セキュリティ早期警戒 パートナーシップガイドライン」を公表 (2004年7⽉) 参考: https://www.jpcert.or.jp/press/2004/0708.txt
  17. 17. Copyright ©2016 JPCERT/CC All rights reserved. 届出⇒調整⇒公開 16 https://www.jpcert.or.jp/vh/fig1.gif
  18. 18. Copyright ©2016 JPCERT/CC All rights reserved.17 CVE はどうなってるの?
  19. 19. Copyright ©2016 JPCERT/CC All rights reserved. CVE 管理の仕組み 18 CVE: Common Vulnerabilities and Exposures ⽶国 MITRE が管理運営 割り当ては CNA(CVE Numbering Authority) から MITRE 以外にソフトウェア開発ベンダや CSIRT(CERT/CC, JPCERT/CC) などが CNA と して割り当てを⾏っている 参考: https://cve.mitre.org/cve/cna.html#participating_cnas
  20. 20. Copyright ©2016 JPCERT/CC All rights reserved. 参考: oss-security メーリングリスト 19 オープンソース製品に対する CVE 割り当てリクエストと 応答の様⼦が垣間⾒られる http://www.openwall.com/lists/oss-security/2016/09/
  21. 21. Copyright ©2016 JPCERT/CC All rights reserved. おさらい 20 脆弱性発⾒! 届出 調整 公開 Vulsで活⽤!
  22. 22. Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (最近の情報) Japan Vulnerability Notes (https://jvn.jp/) JVN iPedia (http://jvndb.jvn.jp/) 脆弱性情報ハンドリングとは? (https://www.jpcert.or.jp/vh/) 脆弱性対策 (https://www.ipa.go.jp/security/vuln/) Lessons Learned from Handling OpenSSL Vulnerabilities (OSC2014Fukuoka での講演) (http://www.slideshare.net/jpcert_securecoding/lessons- to-be-learned-from-handling-openssl-vulnerabilities) 経済産業省告⽰の改正 (http://www.meti.go.jp/policy/netsecurity/downloadfiles/140514kaiseik okuji.pdf) CVE: Common Vulnerabilities and Exposures (https://cve.mitre.org/) 21
  23. 23. Copyright ©2016 JPCERT/CC All rights reserved. 参考情報 (過去の経緯を知るための情報) 脆弱性関連情報取り扱い説明会 (http://www.ipa.go.jp/security/vuln/event/20040720.html) JPCERT/CC プレスリリース: 「情報セキュリティ早期警 戒パートナーシップ」の運⽤を開始 (https://www.jpcert.or.jp/press/2004/0708.txt) 経済産業省告⽰(2004年7⽉7⽇) (http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf) JPCERT/CC・CERT/CC 脆弱性情報ハンドリングワーク ショップ (2004-03-09) (https://www.jpcert.or.jp/present/) 22
  24. 24. Copyright ©2016 JPCERT/CC All rights reserved. お問合せ等の連絡先はこちら 23 JPCERTコーディネーションセンター (https://www.jpcert.or.jp) 情報流通対策グループ (vultures@jpcert.or.jp) JVN: Japan Vulnerability Notes (https://jvn.jp/) お問い合わせ先とFAQ (https://jvn.jp/contact/)
  25. 25. Copyright ©2016 JPCERT/CC All rights reserved.24 Thank you!

×