2021年度 ベストレポーター賞(脆弱性部門)をトレンドマイクロ株式会社に贈呈

インシデントや脆弱性など問題を発見し報告してくださる報告者(レポーター)の皆さまは、JPCERT/CCにとって貴重な関係者の方々です。レポーターの皆さまから寄せられた報告は所定の手順で分析され、必要に応じて問題の解決に向けたコーディネーションが行われています。サイバーセキュリティ上の問題を解決していくには、レポーターの皆さまのご協力は欠くことができません。
そもそも、問題が報告されなければ解決につなげることができないのです。JPCERT/CCでは、定常的なオペレーション業務であるインシデント対応業務と脆弱性調整業務に関連するレポーターの皆さまに感謝の意をお伝えしたく「JPCERT/CCベストレポーター賞」(以下、ベストレポーター賞)を制定いたしました。

なお、ベストレポーター賞とは別に、JPCERT/CCには、サイバーセキュリティ対策活動に大きく貢献いただいた方に感謝の意をお伝えする「JPCERT/CC 感謝状」という制度があります。「JPCERT/CC ベストレポーター賞」は、特にレポーターの方々の活動に焦点を当てて、迅速な問題解決につながる重要な情報を提供いただいた方に感謝の意をお伝えしたく制定いたしました。ベストレポーター賞の制定は、2020年の「JPCERT/CC 感謝状」をきっかけに検討が始まり実現したものです。その議論のきっかけを作っていただいたことを含め、改めて2020年の感謝状を贈呈した「レポーター」に感謝申し上げます。

2021年度のベストレポーター賞を次の方々にお贈りしました

・ 笹田 修平氏 (インシデント報告部門)

・トレンドマイクロ株式会社 (脆弱性報告部門)

(左から 古田 恭一様、小澤 正和様、山科 太俊様、尾崎 敏司様、原 良輔様)

インシデント報告部門ではインシデント報告の件数とその内容に基づいて決定し、脆弱性報告部門ではJPCERT/CCJVNに相談・報告をいただいた脆弱性情報の件数とその内容に基づいて決定しています。受賞者の皆さまをはじめ多くのレポーターの方々に改めて感謝申し上げます。

ところで、読者の方には「どうして、製品メーカーであるトレンドマイクロさんが脆弱性のレポーター?」と不思議に思われる方もいらっしゃるのではないか、と思います。JPCERT/CCから見た場合、トレンドマイクロ株式会社(以下、トレンドマイクロ)は「製品開発者」として登録されているメーカーの一つです。また、国際的な脆弱性発見コミュニティ Zero Day Initiative(以下、ZDI)を運営しており、ZDIとしての報告や相談を受けることもあり、「発見者」、「調整者」の一面もあります。何にせよ、読者の皆さまが思い浮かべる脆弱性の発見者像とは違った印象を与えるでしょう。本記事は、そんな皆さまの疑問に答えるべく、脆弱性報告部門の2021年ベストレポーター賞に込めたJPCERT/CC の思いを伝えたいと考えて執筆しました。

脆弱性のレポーターと聞くと真っ先に研究者やアナリストなど、脆弱性を中心に分析や研究をされている方々や、いわゆるホワイトハッカーと呼ばれる方々を思い浮かべるかもしれません。2019年度の感謝状はそうした背景からお贈りしました。しかしながら、脆弱性の発見は、必ずしもそうした研究者やアナリストの活動によって行われるものだけではありません。インシデントで悪用が明らかになるケースを含め、さまざまなトラブルシュートから発見されることもあれば、開発者が自ら気がつきバグフィックスすることもあります。つまり、脆弱性のレポーターには、研究者やアナリストだけでなく、製品開発者自身もなり得るのです。

JPCERT/CCやJVNにおいても、製品開発者から自らの製品の脆弱性について報告を受けるケースは決して珍しいわけではありませんが、まだ十分に認識はされてはいません。脆弱性の解決は単に修正するだけでなく、脆弱性情報の広い流通により、さまざまな利用者に情報を届けていくことも重要です。特に、昨今の状況を振り返ると、製品開発者が自ら認識して修正した脆弱性について、製品開発者自身だけではなく、いくつかの組織が連携して複数のチャンネルで情報流通を図っていくことが社会全体のサイバーセキュリティ対策を進めていく上で重要な課題の一つとなっています。脆弱性の問題解決のためには製品や脆弱性、修正箇所について知見を持つ製品開発者の協力は不可欠なのです。

一方で、これまでさまざまな製品開発者と話をさせていただく中で、自社製品の脆弱性の公表が「〇〇社の製品には脆弱性が多い、製品品質に問題があるのではないか?」といった悪評に繋がりかねないという「脆弱性の情報公開」への懸念は度々聞かれます。もちろん事前に脆弱性を作り込まないようにセキュアコーディング等を進めることも重要なポイントですが、「バグのないプログラムなど作れない」と言われるように、脆弱性が後から見つからない製品は存在しません。言い換えれば、自社製品が持つ脆弱性を自社が把握できていないことがあるということです。潜在的な脆弱性を見つけていくことに加えて、発見された脆弱性にどのように対峙していくかの姿勢が重要ではないでしょうか。読者の皆さまにも脆弱性報告があるから品質が低いという見方ではなく、むしろ、脆弱性に対して前向きに対処しようとしている姿勢を評価して欲しいと考えます。

トレンドマイクロからは、社内外で発見された自社製品の脆弱性に関する報告を寄せていただき、JVNVU アドバイザリや注意喚起を複数公表するに至りました。JPCERT/CCは、これらの脆弱性報告についてトレンドマイクロと協力して情報流通を行いました。また、いくつかの脆弱性は、すでにそれが悪用されているとの情報を寄せていただき、脆弱性だけでなくインシデント対応を含め、サイバーリスク低減のための活動にも繋がりました。JPCERT/CC はこれらの点に加え、製品開発者の方に改めて自らの製品の脆弱性の情報流通を考えていただく機会としたく、トレンドマイクロにベストレポーター賞をお贈りしました。

JPCERT/CC は、10月27日、オンラインにてささやかながら贈呈式を行いました。その中で意見交換した内容を、トレンドマイクロの意見を交えてご紹介します。

(1)製品開発者としての脆弱性への向き合い方

  • サイバーセキュリティ・イノベーション研究所を設立し、トランスペアレンシー・センターにより、自社の製品やサービスの安全性を評価し、その透明性を示す取り組みを強化している[1]
  • 自社で自社製品の脆弱性を継続的に調査することに加えて、トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」[2]により、社外のリサーチャーに製品の脆弱性を報告頂けるエコシステムを構築している
  • 社内/社外から得られた脆弱性への対処について、全社的に合意したプロセスに基づき対処している
  • 脆弱性に関する情報を、お客様へ迅速に正しく提供するために、脆弱性情報の取り扱いプロセスの中に、  JPCERT/CCへの相談、JVN公表への協力が組み込まれている

トレンドマイクロは、ZDIを運営しつつ、さまざまなソフトウェアのゼロデイ脆弱性の発見を行うだけでなく、自社製品の脆弱性を発見する取り組みを強化しており、こうした一連の活動が、現在の公表姿勢に繋がっているとのお話をうかがいました。

 JPCERT/CCは複数の製品開発者と連携していますが、その経験からも脆弱性報告が寄せられてから、すなわちJPCERT/CCと対話をはじめてからプロセスを開始するのではなく、事前に適切なスキームを作り、全社的に合意をして進めていくことを推奨しています。製品開発部門以外にも、事業・ユーザー部門や広報、法務といった各部門との調整も不可欠です。こうした社内外のステークホルダーとの関係構築の重要性は、FIRSTが公表する PSIRT Services Frameworkでも触れられているところです。

 (2)状況に応じた適切なメッセージを伴ったアドバイザリ・アラートの公表

  •  JPCERT/CC、JVN を介した公表は、ITセキュリティのコミュニティーだけでなく、広く国内の利用者全体に伝えていくには効果的な方法
  • 顧客を含む製品利用者へ正しい認識を与えることが重要。適切なメッセージを注意喚起として発していくことで、製品利用者へ注意を促すことができる
  • メーカーとしての適切な公表は顧客からの信頼に繋がる

 特に悪用が認められるケースでは、発生しているインシデントへの対応だけでなく、同じような攻撃被害を受けるユーザーが存在する可能性があります。そうした脅威に晒されているユーザーへ適切に情報を伝えていくことが必要です。特にアドバイザリやアラートにおいて「In the wild」、すなわち、悪用を確認済みという情報は、利用者に重要なメッセージを伝えています。脆弱性単体を客観的に評価する方法として、CVSS(Common Vulnerability ScoringSystem)もありますが、それだけで脆弱性への対応の優先度を伝えきれるものではないと考えるべきです。なぜなら、実際のインシデントでは、その脆弱性を悪用した影響だけがすべてではないからです。

もちろん、国内の脆弱性調整の取り組み(情報セキュリティ早期警戒パートナーシップ)では、脆弱性の悪用に関する情報の取り扱いについては触れられていません。しかしながら、JPCERT/CCは、JVNを介して脆弱性情報流通を伝えていく際に、そうした情報に「触れない」という姿勢ではいません。メーカーやJPCERT/CCから適切な公表がなされることは、最終的に、ユーザーの信頼に繋がるものと認識しています。トレンドマイクロでも、こうした課題に対して社内で協議を重ねて今がある、との回答をいただきました。製品の脆弱性の悪用に関する情報を適切に伝えていくことが最終的に利用者を保護することにつながるのではないかと感じます。お話をして、報告件数の状況もさることながら、製品開発者が自社製品の届け出を進める上で模範となる取り組みをされていると認識したと同時に、改めて問題を提起いただきました。こうした議論を参考に、脆弱性情報流通の取り組みを前に進めていきたいと感じました。この贈呈を一つのきっかけとして、自社製品の脆弱性情報の届け出を他の製品開発者へ拡げていきたいと考えています。

また、JPCERT/CCにも解決するべき課題があります。注意喚起などで脆弱性の悪用を伝えていくことの意味や、そもそも注意喚起を発行するに至る基準とは何か。そうした点についてもまた改めて説明する機会をいただければと考えています。

早期警戒グループ担当部門長 洞田 慎一

  参考情報

[1]TrendMicro トランスペアレンシー・センター
https://go.trendmicro.com/jp/business/cybersecurity-institute/about/#transparency

[2]TrendMicro 世界トップの脆弱性発見コミュニティ “Zero Day Initiative”とは?
https://www.trendmicro.com/ja_jp/about/trendpark/es-direction-zdi-201711-01-01.html

≪ 前へ
トップに戻る
次へ ≫