製品セキュリティインシデント対応: 主要な戦略とベストプラクティス

作成者: サミュエル・キュア、CISO、 AMI

今日のデジタルランドスケープでは、組織の製品のセキュリティを確保するための積極的な対策を実装することが不可欠です。しかし、優れた実践方法、脆弱性識別の動的な性質、および増加し続ける攻撃ツールとテクニックを使用しても、脆弱性は最善の防御策を逃れ、リリースされた製品に侵入する可能性があります。

そのため、組織は製品の脆弱性を特定して対処するための計画を立てる必要があります。

ここで、製品セキュリティインシデント対応チーム (PSIRT) の役割が発揮されます。

PSIRT は、製品またはサービスの脆弱性を特定、評価、および対処する責任があります。

効果的な PSIRT を作成するための主要な戦略とベストプラクティスがいくつかあります。これらの戦略とベストプラクティスを理解することで、組織は脆弱性が効果的に発生したときに管理および対処する準備ができていることが保証されます。

Table of contents

PSIRT の 5 つのベストプラクティス
優れた PSIRT は、より優れた脆弱性管理を意味します

PSIRT の 5 つのベストプラクティス

#1: 積極的に対応する

脆弱性が発見されると、時計は時を刻みます。 PSIRT は、内部および外部の利害関係者への通知を含め、対応プロセスを迅速に開始する必要があります。脆弱性が組織と共有された瞬間は、PSIRT の追加フェーズが開始されるため、責任とデューデリジェンスの測定が開始される瞬間です。文書化され、ログに記録され、すべてのコミュニケーションの管理の連鎖を維持する方法で、応答を形式化します。

#2: 適切に編成された開示プロセスを確保する

発見された脆弱性がサプライチェーンに重大な脅威をもたらす場合は、影響を受ける可能性のある関係者の間で意識を高めるために、地域のコンピューター緊急対応チーム (CERT) と調整された脆弱性開示 (CVD)を開始する必要がある場合があります。

CERTは、米国国土安全保障省 (DHS) の Cybersecurity and Infrastructure Security Agency (CISA) 内の組織です。すべての利害関係者に CVD について効果的に警告するには、次の 3 つの早期警告メカニズムを検討してください。

内部関係者に脆弱性について説明し、問い合わせに対処するための知識を提供します。
CISA Traffic Light Protocol (TLP)アラートを使用して、サプライチェーンパートナーに通知します。
プロプライエタリコードに関連する脆弱性については、CVD プロセスが開始されている間に、影響を受ける関係者に秘密保持契約 (NDA) の勧告を送信することを検討してください。

サプライチェーンには、脆弱性を特定し、脆弱性情報を伝達するための共通言語が必要です。

これを公に行う最善の方法は、公開勧告の標準である Common Vulnerabilities and Exposures (CVE) を使用することです。 CVE はすべての脆弱性に対して作成する必要があり、公開の場 (出版物、会議など) および CVD で詳述されています。

#3 エンバーゴポリシーを明確に述べる

組織のエンバーゴポリシーを定義する際に、明確で透明性のあるスタンスをとってください。セキュリティ問題の禁輸とは、修正が生成されている間、ベンダー/発見者によって問題がしばらく公開されないことを意味します。

エンバーゴ期間のベストプラクティスは 1 ～ 10 週間です。エンバーゴは、脆弱性の深刻度に応じて定義する必要があります。

脆弱性は、Common Vulnerability Scoring System (CVSS) に基づいた重大度スコアの識別を伴う追跡システムに分類され、定義され、伝達された禁輸期間中、機密の方法で処理される必要があります。

PSIRT は、この情報が勧告の発行物で利用可能になり次第、下流で顧客に伝える準備をしておく必要があります。

#4: 研究者やセキュリティベンダーと提携する

研究者とセキュリティツールベンダーは、サプライチェーンを保護するための重要なパートナーです。サイバーセキュリティの研究者は、最新のツールとテクノロジを使用してソフトウェアとハードウェアの脆弱性を常に検索しており、PSIRT を改善するための重要な情報源であり、セキュリティベンダーは脆弱性を特定するための新しいツールを作成しています。

PSIRT 識別プロセスへの入力が増えるほど、知識、ツール、およびリソースへのアクセスが増えます。研究者やセキュリティベンダーとの協力関係を構築して、脆弱性の発見とアドバイザリ通知プロセスをより適切に統合します。

#5: 調査と修復プロセスを最適化する

PSIRT が影響を受けるコードを特定し、発生するリスクをタイムリーに顧客に伝えるには、効果的な調査が重要です。継続的な改善のために、調査プロセスの手順を正式に文書化し、測定し、最適化する必要があります。

優れた PSIRT には、脆弱なコードがすべての製品にどの程度存在するかを判断するための一連のツール、自動化、および方法が必要です。多くの場合、自動化は、すべてのコードライブラリと製品バージョンが特定の脆弱性の発見のために分析されることを保証するために必要です。

修復の検証は、リスクが適切に対処されていることを確認するために不可欠です。正式な「サインオフステージゲート」は、是正の承認と内部認証を取得するために重要です。

すべてのパッチまたは修正が適切に実装および適用されていることを確認することで、潜在的なセキュリティの脅威から顧客を保護することができます。

優れた PSIRT は、より優れた脆弱性管理を意味します

これらのベストプラクティスに従うことで、組織の PSIRT は製品の脆弱性を効果的に特定し、協力して対処することができます。迅速な修復作業と、US-CERT(CISA) や CERT/CC(SEI) などの地域の CERTS、およびその他の研究機関との調整されたコミュニケーションを通じて、顧客とパートナーのセキュリティと満足度を優先することができます。

PSIRT の優れた情報源は、 Forum of Incident Response and Security Teams (FIRST)です。 FIRST は、政府、商業、学術部門の製品セキュリティチームを含む、さまざまなセキュリティおよびインシデント対応チームをまとめています。

AMIは、最新のコンピューティング用に再構築されたファームウェアです。セキュリティ、オーケストレーション、および管理ソリューション向けのダイナミックファームウェアのグローバルリーダーとして、AMI は、オンプレミスからクラウド、エッジまで、世界中のコンピューティングプラットフォームを実現しています。 AMI の業界をリードする基盤技術と揺るぎない顧客サポートは、永続的なパートナーシップを生み出し、ハイテク業界で最も著名なブランドのいくつかに革新をもたらしました。 AMI は Open Compute エコシステムの重要なプロバイダーでもあり、Unified EFI Forum (UEFI)、PICMG、National Institute of Standards and Technology (NIST)、National Cybersecurity Excellence Partnership (NCEP) など、多数の業界団体および標準のメンバーです。 )、およびトラステッドコンピューティンググループ (TCG)。

後援およびAMIによって書かれました

PSIRT の 5 つのベスト プラクティス