Nav -->

活動内容

脅威情報分析、人材育成、調査研究

OSSセキュリティグループ 主査:萩原 健太(GSX)

OSS の汚染や侵害の調査・研究、SBOM の研究を通じて、安全な OSS の普及を推進しています。

ソフトウェアに関する課題(全体)

  • サプライチェーンの深い構造(多重下請け構造)
    サプライチェーン管理の重要性は理解しているが、階層が深すぎて把握できない。また管理には相当のコストがかかる。
  • 無くなることのない脆弱性(情報系・産業系を問わず)
    サプライチェーン繋がりを悪用したサイバー攻撃が発生している。
  • 対応しきれない組織(特に中小企業)
    膨大な脆弱性情報のエントリーがあり、産業機器関連の脆弱性も出現している。
  • 進むデジタル化、IoT機器の開発(把握できないOSS問題)
    OSSを活用した様々な製品やサービスが増加している。

ソフトウェアに関する課題(OSS)

  • OSSの重要性を理解できていない
  • OSSの使用状況を把握できていない
  • 仕様書にOSSの詳細が反映されていない
  • OSSの更新を踏まえた運用を想定していない
  • セキュア開発が行えていない(行えない)
  • 契約や力関係の非対称性の存在

このような現状を踏まえ、Softwa ISAC会員企業の対策の検討や恒久的な対策について、政府、業界団体、各ISACと協調しながら、業界慣行の確立を進めていきます。

コンタクト

PSIRT推進/実践ワーキンググループ 主査:明尾 洋一(サイボウズ)

Product Security Incident Response Team の普及を推進しています。

IoTの浸透により社会の在り方が急速に変化しています。それと同時にIoT機器やソフトウェアの脆弱性を突いたセキュリティ事故も発生するようになりました。 IoT機器やソフトウェアの開発ベンダーは、製品・サービスの修正や改善をこれまで以上の頻度、速度で行う必要性があり、対応組織の設置・強化が望まれています。 「Product Security Incident Response/Readiness Team(PSIRT)」とは、各組織で提供している製品やサービスに係る脆弱性対応やインシデント対応、 また品質管理や向上を目的とした組織で、国内でも徐々に設置が進んでいますが、その構築や運用のノウハウは国内にはまだまだ多くありません。 「PSIRT Services Framework 1.0」は、FIRST(Forum of Incident Response and Security Teams)が提供するフレームワークで、 PSIRTを構築する方法や必要な機能・資源をはじめ、運用に係る情報などが記載されています。そこで、国内の健全なPSIRT設立と発展のために、 「PSIRT Services Framework 1.0」の翻訳を、JPCERT/CCとPSIRT推進/実践WGで実施し、国内のFIRSTメンバーの査読を受け、FIRSTにて公開がなされました。

本WGでは、「PSIRT Services Framework 1.0」の普及を進めるため、WGでの定期的なセミナーを開催するとともに、 PSIRT Services Frameworkの 各フレームワークの目的達成過程の状態を成熟度レベル毎に示した「プロダクト脆弱性対策・対応成熟度シートVersion 1.0」を作成しました。 この成熟度シートは、自社開発製品または自社販売製品に関する脆弱性管理を課題として扱い始めた組織、または製品セキュリティ・インシデント対応チーム(PSIRT)の設立を 進めている組織、もしくはPSIRT業務の品質の向上を目的に、現状評価や課題の洗い出し、施策の方向性を検討する材料として利用して頂きたいものです。 「PSIRT Services Framework Version 1.0 」では、PSIRTのあるべき姿をサービスエリア毎に詳細に記述してありますが、 組織の規模や製品販売対象範規模の違いなどで、 要件としてそのまま自組織に当てはめるには難しい面も散見されます。 この成熟度シートは、PSIRT Services Frameworkの理解を助けると同時に、 目標とする成熟度レベルを自ら設定し、 中小規模のビジネスにおいても参考となるよう配慮してあります。

コンタクト

セキュリティガイドライン策定グループ 主査:加藤智巳(LAC)

実践的なセキュリティ設定のためのガイドラインを策定、普及を推進しています。

Software ISACは、IPA社会基盤センターの社会実装推進委員会の中で、民法改正対応モデル契約見直しWG(ワーキング・グループ)の下に設置された 「セキュリティ検討PT(プロジェクト・チーム)」(※1) に対し積極的な支援活動を実施しており、これまでになかった新しいセキュリティガイドライン 「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の策定に取り組んでいます。

「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」の特徴

  • ガイドラインの内容は、Software ISACが運用することを前提として四半期毎を目処にアップデートを実施
    (最新の脆弱性関連情報を管理するMITRE ATT&CK/ CWE(※2) が提供する情報を随時反映し、wikiで公開)
  • 情報システム調達時のユーザー・ベンダー間におけるリスク・コミュニケーションを想定した「セキュリティ仕様策定プロセス」を併記
    (システム開発委託契約書におけるセキュリティ仕様要件に関するエビデンス作成が容易に)

Software ISACでは、社会経済活動に少なからず影響を及し、あるいはデジタル・トランスフォーメーションを阻害しかねないシステム障害を低減するため、 このセキュリティガイドラインを広く普及させるための活動を行なっていきます。

コンタクト

(※1) https://www.ipa.go.jp/ikc/about/committee-01.html#model_wg1pt
(※2) 企業システムで広く使用されているWindows、Linuxを対象に、MITRE ATT&CK でまとめられたサイバー攻撃の戦術および攻撃手法をもとに、 最近の攻撃に利用されている攻撃手法の実績や、攻撃者の観点から見た攻撃手法の利用頻度等を勘案した重み付けを専門家チームで絞り込み、それに対する具体的な対策や緩和策を整理。
(※3) MITRE は米国の防衛、航空、国土安全保障、裁判所、健康、サイバーセキュリティの研究や公益に取り組む非営利法人。 米国国立標準技術研究所(NIST)の国立サイバーセキュリティFFRDC(NCF)の運営を受託し、官民パートナーシップおよびハブとしての機能を提供。 また、国土安全保障省の資金を得て、世界中の脆弱性情報に対して採番を行うCVE(Common Vulnerabilities and Exposures)の運用を実施しており、 ATT&CKはこのCVEをもとに脆弱性を悪用した実際の攻撃を戦術単位で分類したナレッジベースとされる。

セキュア開発ワーキンググループ 主査:垣内 由梨香(Microsoft)

セキュアコーディングの啓発、普及を推進しています。

セキュア開発を実現するための情報共有、セキュアコーディングガイドラインの策定を通じて、シフトレフトを推進しています。
具体的には、Spring Framework のセキュアコーディングガイドの作成、セキュアなアプリケーションの定義、ビルド、テスト、 検証に使用できるアプリケーションセキュリティ要件またはテストのリストである、OWASP Application Security Verification Standard (ASVS) 4.0 の日本語化や、 セキュア開発セミナーを開催しています。

コンタクト