EUにおける「協調的脆弱性開示」の実態
発見された脆弱性に関する情報をベンダ(開発者)などの関係者と調整し、修正プログラムなどの解決策が用意できてから一般公開することを、「協調的脆弱性開示(Coordinated Vulnerability Disclosure、以降CVD)」と呼びます。日本で2004年から運用されている「情報セキュリティ早期警戒パートナーシップ」は、まさにこのCVDの実装の1つであり、世界的に見ても先進的な取り組みとされています。
情報セキュリティ早期警戒パートナーシップガイドライン – 情報処理推進機構(IPA)
https://www.ipa.go.jp/security/ciadr/partnership_guide.html
そのような中、欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)はEU加盟各国におけるCVDの実態について調査した結果を公開しました。報告書内では、EU以外の先行事例として日本だけでなく、中国や米国についても紹介しています。
結論から言えば、EU加盟国内ですでに国としてCVDポリシーを実装しているのは4カ国のみで、他に実装間近なのが4カ国、残りは実装に向けて進行中の国とその段階に至っていない国の2つのグループに分かれています。ちなみに非常に個人的な「感覚」ではありますが、エストニアやポーランドが実装に向けた動きすらないのには少々驚きを感じています。しかし、この両国はCVDについて「何もない」わけではなく、国で定めたルールやガイドラインはないものの、実質的にCVDを行うための機能や体制は存在し、すでに実績もあるようです。
- ・実装済み
ベルギー、フランス、リトアニア、オランダ
・実装間近
デンマーク、ドイツ、ラトビア、ポルトガル
・進行中
チェコ、ギリシャ、スペイン、イタリア、ルクセンブルク、ハンガリー、オーストリア、スロベニア、スロバキア、フィンランド
・未実装
ブルガリア、エストニア、アイルランド、クロアチア、キプロス、マルタ、ポーランド、ルーマニア、スウェーデン
すでに実装済みの国も、実装間近の国も、概ね日本と同様に何らかの公的機関が報告の受け付けや調整の役割を担いますが、その監督省庁や対象範囲、権限などは当然ながら国によってまちまちです。また、CVDポリシーの実装化が民間主導の国もあれば政府主導の国もあります。このあたりは政府機関との脆弱性情報の共有に対する抵抗感が国によって違うことが影響しているようです。さらに、ベルギーのように企業に対してバグバウンティの導入を積極的に推奨している国もあれば、バグバウンティには特に言及していない国もあります。
調査結果を踏まえてENISAは以下のような提言をしています。
- 脆弱性発見に携わるセキュリティ研究者に法的保護を提供するための刑法およびサイバー犯罪指令(Cybercrime Directive)の改正。
- セキュリティ研究者の法的保護を確立する前に、「倫理的ハッキング(Ethical Hacking)」と「ブラックハット」のアクティビティを明確に区別するための具体的な基準を定義すること。
- セキュリティ研究者がCVDの研究に積極的に参加するためのインセンティブを、国内または欧州のバグバウンティプログラム、あるいはサイバーセキュリティトレーニングの推進と実施のいずれかを通じて開発すること。
上記以外にも、経済的課題や政治的課題、運用・危機管理活動に関する追加提言もなされています。
さらに、EU以外の先行事例として紹介されている日本における「情報セキュリティ早期警戒パートナーシップ」について「かなりうまく機能している」と評価する一方で、報告件数の増加でタイムリーに処理しきれないケースや、いまだにCVDを受け入れようとしないベンダの存在といった現時点での課題も紹介し、それらを含めて日本の事例(主に成功している点)から得られる提言として以下の10点を挙げています。
1.脆弱性に直接対処できる、または少なくとも対処できる組織と連携できる組織に脆弱性を報告するインセンティブを研究者に与えるべき。
2.金銭的なインセンティブも与えるべき(バグバウンティ)。
3.表彰も行うべき(アドバイザリへのクレジット掲載)。
4.脆弱性の協調的な開示を支援するためにベンダに対してインセンティブを与えるべき。
5.ベンダが自らの脆弱性対処活動をグッドプラクティスとしてアピールできるようにすべき(市場へのアピール)。
6.第三者であるコーディネータもこのプロセスにおいて価値を提供することができる。
7.より多くの人に情報が届くようにアドバイザリを公開すべき。
8.脆弱性に関して複数の組織と連絡を取る必要がある場合、調整プロセスにおいて支援がなされるべき(複数の当事者の調整)。
9.報告された脆弱性がどのように調整されて開示されるかを研究者が知ることができるように調整プロセスを明確化すべき。
10.ベンダが報告された脆弱性に対処することが研究者に分かるようにベンダに対して調整プロセスの作成方法を指導すべき。
全90ページにも及ぶ報告書は全てに目を通すのはなかなかに大変ですが、加盟各国の状況について個々にまとめてあるので、何らかの関係のある国についてだけでも目を通しておくとよいかもしれません。また、EU以外の先行事例である中国や日本、米国の状況をヨーロッパの視点で調査分析した結果は興味深いものになっています。こちらも脆弱性対応に関わる方には一読をお勧めします。ちなみに、日本についての紹介は1ページ強とかなりあっさりめなのに対し、中国と米国はどちらも数ページにわたって経緯や関連法を含めて詳しく紹介されています。特に中国については、政府が何らかの目的で特定の脆弱性を隠蔽したり、公開を遅らせたりする可能性があるなどの問題点を指摘しています。
CISAによるサイバーイベント情報共有ガイダンス
米国では2022年3月に「2022年重要インフラ向けサイバーインシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act of 2022)」が成立しました。これは重要インフラの所有者および運営者に対し、サイバー攻撃を受けてから72時間以内、ランサムウェアに対する支払いを行ってから24時間以内に、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(Cybersecurity and Infrastructure Security Agency、以降CISA)へ報告することを義務付けるものです。
これを受けてCISAは翌4月、サイバーインシデント情報共有のためのガイダンスとしてファクトシートを公開しました。これはあくまで米国国内の重要インフラ事業者およびその関係者に向けたものですが、その内容は他の企業や組織(公的機関を含む)との情報共有の観点で一般的なものを含んでいます。つまり、米国に限らず、また、どのような業種の企業や組織においても、参考になるところはあり、例えば、グループ企業間で報告および共有すべき項目やそのための方法などを検討する際には大いに参考になるでしょう。
まず共有すべき重要10項目として優先度の高い順に以下のように紹介しています。
1.インシデントの日時
2.インシデントの場所
3.観測されたアクティビティの種類
4.イベントの詳細な説明
5.影響を受けた人またはシステムの数
6.会社/組織名
7.連絡先の詳細
8.イベントの深刻度
9.重要インフラ部門(既知の場合)
10.他に連絡した人
さらに報告に関連して以下の5つの項目に分けて説明しています。
- 1.あなたができること
- アクティビティを観察する
- 脅威を軽減するために現場で対策を講じる
- イベントを報告する
- 2.共有すべき人
- 重要インフラの所有者および運営者
- 連邦政府、州政府、地方自治体、領土政府、および部族政府のパートナー
- 3. CISAと共有すべきアクティビティの種類
- システムに対する無権限アクセス
- 12時間以上続くサービス拒否(DoS)攻撃
- システム上の悪質なコード(既知の場合は亜種も)
- システム上のサービスに対する標的型スキャンおよび繰り返されるスキャン
- システムへの無権限アクセスの度重なる試み
- フィッシングの試みまたはその成功に関連した電子メールまたは携帯電話のメッセージ
- 重要インフラに対するランサムウェア(既知の場合は亜種および身代金の詳細も)
- 4.どのように共有すべきか
- 連邦政府または重要インフラのパートナーの場合は、CISAのインシデント報告フォームの使用を推奨。CISAへの報告経験がない、またはフォームを使用する能力や時間がない場合はこのファクトシートをもとに電子メールで報告するように。
- 5. 期待すること
- CISAは受けた報告をトリアージして分析、必要に応じて匿名化した情報を他者と共有。CISAが追加情報を必要とする場合はCISAの公式アカウントのいずれかから連絡。
今回公開されたファクトシートは1ページに簡潔にまとめられています。一般的に非常事態の状況下で使うものであると考えれば、自社で同様のガイドラインなどを作成する場合も目安としてはこれくらい、またはこれ以下にまとめるのが適切でしょう。
