スキップしてメイン コンテンツに移動

情報処理安全確保支援士 オンライン講習Aを受けた備忘録(3)~Japan Vulnerability Notes(JVN)~【前編】

情報処理安全確保支援士 オンライン講習Aを受けた備忘録(3)

内容:情報処理安全確保支援士 オンライン講習A
日時:2020年5月

Japan Vulnerability Notes(JVN)【前編】

  • 目標 JVNがどのような脆弱性と対策情報を発ししているのかを理解し、自組織で活用・共有できるようになる
1章 JVNとは

  • 目的『脆弱性関連情報の円滑な流通、および対策の普及を図る』
  • 対応方法の把握
    • 発見者として[脆弱性を発見]⇒[IPAに報告]
    • 開発者・運営者として
  • JVNポータルサイト
    • メリット
      • 各ベンダからの情報を一覧で収集
      • 統一したフォーマットで確認できる
    • デメリット
      • 情報が登録されるまでに少し時間を要する
  • 情報の入手先
  • JVNとは
    • JPCERT/CCとIPAが共同運営する脆弱性対策情報ポータルサイト
    • 情報源は「情報セキュリティ早期警戒パートナーシップ」精度とCERT/CC等の海外の調整機関と連携した脆弱性情報
  • JVN iPediaとは
    • 脆弱性対策情報データベース
    • 国内外を問わず、情報を収集、蓄積
  • JVNとiPediaの違いは脆弱性情報の収集範囲
    • JVNはJPCERT/CCに届けられた情報、US-CERTのAlerts、Vulnerability Notesが掲載
    • iPediaは上記に加え、日本国内に流通している製品の脆弱性情報が掲載
    • ただしJVNとiPediaの情報公開が同じとは限らない
2章 JVN脆弱性レポート

  • JVN脆弱性レポートとは、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告された脆弱性情報やCERT/CC等の海外の調整機関と連携した脆弱性情報
  • 深刻度はCVSS(Common Vulnerability Scoring Sysytem)で評価
    • 標準化された評価基準でベンダに依存しない
    • 多数の組織が支持
    • 評価方法は公開している為、だれでもCVSSスコアを評価可能
  • CVSSの脆弱性評価基準
    • 基本評価基準(Base Metrics)
      • CVSS基本値(ベーススコア)
        • ネットワークから攻撃可能かを情報セキュリティ特性のCIA(機密性、完全性、可用性)を評価し算出
        • ベーススコアは固定であり、時間や利用環境の相違で変化しない
        • ベンダ、脆弱性を公開する組織が評価する基準
    • 現状評価基準(Temporal Metrix)
      • CVSS現状値(テンポラルスコア)
        • 「現在の深刻度」を評価する基準
        • 攻撃コードの出現有無や対策情報が利用可能といった基準で算出
        • テンポラルスコアは脆弱性への対応状況や時間経過により変化する
        • ベンダ、脆弱性を評価する組織が「脆弱性の現状」を表すために評価する基準
    • 環境評価基準(Environmetal Metrix)
      • CVSS環境値(エンバイラメンタルスコア)
        • ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価
        • 脆弱性への対応状況を評価し算出
        • エンバイラメンタルスコアは脆弱性に対し想定される脅威に応じてユーザごとに変化する
        • ユーザが脆弱性への対応を決めるために評価する基準
3章 JVNとJVN iPediaの利用方法

  • VN-JPは、JVN#で始まる脆弱性リスト
  • VN-JP(連絡不能)は連絡が取れない製品開発者が提供したソフトウェアの中で提出された情報
  • VN-VUは、JVNVU#で始まり主に海外調整機関が公開した脆弱性情報
  • TAは、JVNTA#で始まり注意喚起のリスト、US-CERTが公開した注意喚起情報
  • TRNotesは、脆弱性対策と変化状況をあわせて提供するリスト
  • 自分でCVSSを計算できる「CVSS計算ソフトウェア」
  • 検索条件、CWE(共通脆弱性タイプ一覧)はソフトウェアにおける脆弱性を識別するための基準
  • CWE-IDは脆弱性の概要、攻撃の受けやすさ、脅威、脆弱性の軽減策、具体的なコーディング例、事例を管理
4章 JVNと連携する脆弱性情報aの利用方法

  • Vulnerablility Notes Database(脆弱性ノートデータベース)
    • CERT/CCの提供するソフトウェアの脆弱性データベース
  • CERT/CC
    • 主にネットワークに関する不正アクセス、不正プログラム、システムの脆弱性問題に関して情報を収集、分析する組織
  • CVE(Common Vulnerability and Exposures)
    • サイバーセキュリティの脆弱性に関する共通辞書
    • 脆弱性に番号付けした「CVE識別番号」CVE ID、CVE、CVE番号等呼ばれる
  • NISTのデータベース(NVD)とのリンク
    • CVEは辞書であり、詳細な脆弱性情報は脆弱性DBにより提供される
    • NISTの脆弱性DB NVDとリンクされている
まとめ

  • 経営課題への対応
    • 利用しているソフトウェアに脆弱性が発見された場合に備え、ポリシーで対応を定める
    • 定められたポリシーに従って対応されているか監査、分析を行う
  • システム等の設計・開発
    • 脆弱性の深刻度について、計算方法を把握する
    • 脆弱性を作り込まないために自社の開発におけるセキュアコーディングに活かす
  • 運用・保守
    • 公開された脆弱性に対し、ポリシーに従って対応する
    • 脆弱性への対応について従業員への教育・啓発を行う
  • 緊急対応
    • 脆弱性によるインシデント対応の体制を用意する
    • 緊急の脆弱性が発表された場合、最優先で対応する

コメント

コメントを投稿

このブログの人気の投稿

sendmailでの転送設定

某システムにてメールを配信する機能を開発へ依頼。 受け取った後、PHPの mb_send_mail はsendmailが無いと動かない事実を伝えられる。 うちのメールサーバはPostfixですよ。。。 Σ(|||▽||| ) 仕方が無いので、WEBサーバにsendmailを立て DMZ 内のpostfixへリレーするようする。 意外と内部のメールサーバに転送する文献がなかったので、備忘録として残すことにした。 ■sendmail-cf-8.13.8-8.el5.i386.rpmのインストール 設定ファイルをコンパイルするm4コマンドを使う為に必要。     ・モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5         「sendmail-cf-8.13.8-8.el5」がインストールされていなければ以下を実施     ・パッケージのインストール           # rpm -ivh sendmail-cf-8.13.8-8.el5.i386.rpm     ・再度モジュールの確認           # rpm -qa | grep sendmail         sendmail-8.13.8-8.el5         sendmail-cf-8.13.8-8.el5 ■hostsファイルの確認           ・hostnameの確認           # hostname        ...

Android端末の操作を自動化する

システムの運用保守をやってると、必ず実機確認(サービス正常性確認)というモノをやらされる訳であります。 スマホアプリ操作なんかだと、複雑なうえに素早く実施しないとイケない。 はっきり言って、アラフォー男子には限界があります。そこで 自動化 を思いつきます。 FRep - Finger Replayer が有力そうだけど、Root化しないとイケない?業務端末では無理です!! 有償で良さ気なソフトもありそうですが、まずは自力でチャレンジ。調べて見るとadbコマンドを使ってタップやスワイプのイベントを端末に送信できることがわかりました。早速、作業に取り掛かります。 2015/05/05 時点でリリースされている最新版を使って開発環境を構築します。 開発環境となるPCのOSはWindows7 Professional SP1 64bit。 作業は全て管理者権限が付与されたユーザで実施しています。 1. Android SDK をインストール ここ からAndroid SDKをダウンロードします。 サイトの下の方に「SDK Tools Only」があるので、そこから[installer_r24.2-windows.exe]をダウンロードしてインストールします。 次にシステム環境変数の中の[Path]変数を編集し、以下のパスを登録します。 "C:\android-sdk-windows\platforms" "C:\android-sdk-windows\tools"    ※"C:\"はご自身のインストール先によって異なります。 2. PCにAndroid端末を繋げる ①Android端末本体の「設定」から「アプリケーション」>「開発」>「USBデバッグ」にチェック。 ②Android端末をUSBでPCに接続。 ③コマンドプロンプトを立ち上げ、adbコマンドで端末の接続を確認。  > adb devices 以上で準備が整いました。 3. 画面キャプチャを撮って、座標を調べる 次に画面を操作する為、座標を調べます。画面キャプチャをペイント等のアプリで開いてみましょう。図の左下に座標が表示されます。ここではFace...