Category Archives: セキュリティの基礎

セキュリティインシデントハンドリングライフサイクル(Incident Handling Lifecycle)

セキュリティインシデントに対するハンドリングライフサイクルのフレームワークとしては、

  • SANS Incident Handling Process
  • NIST SP 800-61

を参照にするのが良い。2つのフレームワークの内容はほぼ同じだ若干の違いがある。

 

SANS Incident Handling Process

  1. Preparation
  2. Identification
  3. Containment
  4. Eradication
  5. Recovery
  6. Lesson Learned

 

NIST SP 800-61

  1. Preparation
  2. Identification and Analysis
  3. Containment, Eradication, and Recovery
  4. Post-incident analysis

脆弱性に関する識別子や略語およびそれらの関係

JPCERT/CCやUS-CERTやベンダーのサイトで脆弱性に関する情報を読んでいると様々な識別子や略語が登場します。ここではそれらの識別子や略語に関して説明します。

 

マイクロソフトのKB番号とMS番号

マイクロソフトがリリースするセキュリティ情報やパッチ情報にKB2992611やMS14-066のような番号が付いたものを見つけることができます。KBとはMicrosoft Knowledge Baseの事でマイクロソフトのサポート技術情報に対して番号を振ったものを言います。MSの方はセキュリティ更新プログラムに紐づいています。MS14-066の14は2014年にリリースされたセキュリティ更新プログラムであることを意味しており、066はその年に66番目にリリースされた事を意味しています。

 

AdobeのAPSB

AdobeにもマイクロソフトのようにアップデートにはAPSBという番号が割り振られています。APSBはAdobe Security Bulletinの略ですが、Pが何を指しているのかは不明ですが、多分Adobe Product Security Bulletinではないでしょうか?APSBもマイクロソフトのMS番号と似ており、APSB14-28のような形式となっています。

 

JVNの脆弱性識別番号

JVNとはJapan Vulnerability Notesの略でJPCERT/CCとIPAが運用している日本での脆弱性管理の仕組みです。JVNの脆弱性識別番号には3つの種類があります。

  • JVN#: 情報セキュリティ早期警戒パートナーシップに基づいて、調整・公表される脆弱性情報。
  • JVNVU#: 海外調整機関や海外製品開発者との連携によって公表される脆弱性情報。
  • JVNTA#: 調整の有無に関わらず必要に応じて公表される脆弱性情報。

 

US-CERT Technical Cyber Security Alert

US-CERTがリリースしているセキュリティ情報で、TA14-318Aのような識別子が付けられています。TAの次の数字は年を表しており、その次の318は1月1日から数えて318日目にりリリースされた情報であることを指しています。その次のアルファベットは、その日に最初にリリースされた情報はA、その日に別の情報がリリースされるとB、C、Dのように割り当てます。

 

CVE識別番号

CVEとはCommon Vulnerability and Exposuresの略で、日本語では共通脆弱性識別番号と言います。CVEはMITREという非営利団体が管理しており、US-CERTやベンダーなどと連携して脆弱性情報を収集管理し、その脆弱性に対してCVE識別番号を付与して公開しています。CVEは「CVE-2014-6321」のように年と連番によって採番されています。

 

CVE識別番号、JVNのIDおよびベンダーのパッチ番号の関連

それでは、それぞれの脆弱性情報の関連性を見てみましょう。例えば、MicrosoftのSchannelに関する脆弱性の場合、その脆弱性のCVE識別子はCVE-2014-6321となります。その情報を基にJVNが日本用に情報を公開したものがJVNVU#99732679となります。またその脆弱性に基づいてリリースしたセキュリティ更新プログラム(セキュリティパッチ)がMS14-066という事になります。

脆弱性情報 CVE識別番号 JVNのID ベンダーの対応するパッチ情報
MicrosoftのSchannelにおける任意のコードを実行される脆弱性 CVE-2014-6321 JVNVU#99732679 MS14-066

 

 

セキュリティ・脆弱性情報の入手方法

脆弱性情報の入手(日本)

脆弱性の情報は様々な組織・機関・ベンダーのサイトから入手することができますが、以下の点に注意して情報を入手するサイトを選ぶ必要があります。

  1. 信頼のおける情報かどうか?
  2. 最新の情報が即時に入手できるか?

インターネット上には信頼できる情報もあれば、信頼できない情報も多々あります。また信頼できない情報の中には悪意を持って間違った情報を掲載しているサイトもあります。もし悪意を持って作成されたサイトの情報を基にパッチを適用したり回避策を実行したりすると、セキュリティレベルが低下したり、不正なソフトウェアをインストールしてしまったりします。ですので、信頼した情報を入手する事はとても大切です。

また、情報は最新のものでなければなりません。脆弱性が公開されると、悪意を持った人たちがその脆弱性を利用するために、不正なプログラムなどを作成したり攻撃をする準備を行います。ですので、その不正なプログラムや攻撃が開始される前に脆弱性の対応をしなければなりません。情報が遅いと先に攻撃されたり不正なプログラムによって脆弱性を悪用されてしまう可能性が高くなります。

日本の場合はJPCERTコーディネーションセンター(JPCERT CC)が信頼できる情報を提供しています。JPCERT/CCはJapan Computer Emergency Response Teamという非営利団体の略で主に脆弱性の情報の周知・注意感知、セキュリティインシデントの公開・報告の受付・対応の支援などを行っています。JPCERT/CCが発行するメーリングリストを購読しておけば、脆弱性が発見されたりインシデントが発生した場合にメールで通知してくれますので、いち早く情報を入手することができます。

 

海外での脆弱性情報の入手

JPCERT/CCで脆弱性の情報を入手できるとは言え、実はJPCERT/CCも海外からの情報提供を基に日本語で情報を提供しています。例えば、一番良く参照されるのはUS-CERTという組織の情報です。日本のJPCERT/CCとアメリカのUS-CERTは名前が似ていますが、US-CERTはUnited States Computer Emergency Readiness Teamの略で、日本のJPCERT/CCとはちょっと違いますね。

  • US-CERT: United States Computer Emergency Readiness Team
  • JPCERT: Japan Computer Emergency Response Team

この両団体は全く別団体ですが、お互いに情報の共有・提供を行っています。US-CERTはアメリカの国土安全保障省(U.S. Department of Homeland Security)の配下の組織で各ベンダーや各国の情報セキュリティ団体(各国のCERTなど)との情報共有を図ったり、国家のセキュリティを強化する為にセキュリティ情報や脆弱性情報を普及しています。一般の方でもUS-CERTからメーリングリスト等で情報を即時に入手することができますので、US-CERTのメーリングリストを購読することをお薦めします。

 

ベンダーからの脆弱性・パッチ・アップデート情報の入手

ベンダー1社1社から脆弱性の情報やパッチ・アップデート情報を入手するのは困難です。ですので、JPCERT/CCなどの情報を利用することをお薦めします。ただ、以下のベンダーの情報は良く利用され緊急の対応が必要とする場合が多いですので、定期的にチェックしましょう。

マイクロソフト

ほとんどの企業のユーザがWindowsを利用していると思いますので、毎月パッチの適用が必要となります。マイクロソフトのセキュリティパッチはセキュリティTech Centerから入手することができます。セキュリティパッチの公開は毎月アメリカ時間の第2火曜日となりますので、日本の場合は第2水曜日となります。マイクロソフトプロダクトセキュリティ警告サービスに登録すれば、随時にマイクロソフトからセキュリティ情報をいち早く入手することができます。

Adobe

AdobeはSecurity Notification ServiceというサイトでAdobe製品の脆弱性情報やアップデートの情報を提供しています。ここからAcrobatやFlash Playerのセキュリテイアップデートの情報を入手することができます。