Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

脆弱性情報ハンドリングポリシー

33,819 views

Published on

サイボウズ株式会社は、お客様のリスクを軽減することを目的とし、脆弱性情報の取り扱いや改修に関する弊社の方針「脆弱性情報ハンドリングポリシー」を公開いたしました。

Published in: Technology
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • accessibility Books Library allowing access to top content, including thousands of title from favorite author, plus the ability to read or download a huge selection of books for your pc or smartphone within minutes ,Download or read Ebooks here ... ......................................................................................................................... Download FULL PDF EBOOK here { http://bit.ly/2m6jJ5M }
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

脆弱性情報ハンドリングポリシー

  1. 1. 脆弱性情報ハンドリングポリシー サイボウズ株式会社 Copyright (C) Cybozu,Inc. 1
  2. 2. 1)脆弱性情報ハンドリングポリシー Copyright (C) Cybozu,Inc. 2
  3. 3. 用語 • 脆弱性 • コンピュータのオペレーティングシステム(OS)、 各種ソフトウェア、オンラインサービスにおける 悪用可能な弱点(ISO/IEC 29147 より引用) • 報告者 • サイボウズ製品の脆弱性を発見し、サイボウズに報告する方 • 脆弱性情報 • 報告者がサイボウズに対して連絡した脆弱性の情報 Copyright (C) Cybozu,Inc. 3
  4. 4. 目的と対象範囲 • 社内外で発見された脆弱性情報を適切に取り扱い、 脆弱性を改修し、お客様のリスクを軽減すること。 目的 • 弊社が作成した全てのサービスおよび、製品 • 弊社が利用する第三者が作成したソフトウェア 対象範囲 Copyright (C) Cybozu,Inc. 4
  5. 5. 対象製品分類 • バージョンアップにユーザーの操作が必要 オンプレミス製品 • バージョンアップにユーザーの操作が不要 クラウド製品 • バージョンアップにユーザーの操作が必要 • ユーザーがクリックする程度で済む モバイル製品 Copyright (C) Cybozu,Inc. 5
  6. 6. オンプレミス製品一覧 • サイボウズ Office • サイボウズ ガルーン • サイボウズ 全文検索サーバー • サイボウズ メールワイズ • サイボウズ デヂエ • サイボウズ SPApps • サイボウズ リモートサービス (リモートクライアント) Copyright (C) Cybozu,Inc. 6
  7. 7. クラウド製品一覧 • cybozu.com 共有管理 • サイボウズ Office on cybozu.com • Garoon on cybozu.com • kintone • メールワイズ on cybozu.com • cybozu.com Store • サイボウズLive • cybozu.com 運用基盤 • ネット連携サービス • サイボウズ リモートサービス(サーバー) Copyright (C) Cybozu,Inc. 7
  8. 8. モバイル製品一覧 • サイボウズ KUNAI • kintone モバイル • サイボウズ Office 新着通知 • サイボウズLive TIMELINE • Cybozu Desktop Copyright (C) Cybozu,Inc. 8
  9. 9. 構成要素 下記2つのフローから構成されます。 • 検出された脆弱性は、脆弱性の深刻度に応じて対応する 脆弱性対応フロー • 報告者の方から受け付けた脆弱性情報を、サイボウズが定め る基準に従って公開する 脆弱性情報公開フロー Copyright (C) Cybozu,Inc. 9
  10. 10. Copyright (C) Cybozu,Inc. 10 外部からの 脆弱性報告 社内からの 脆弱性報告 脆弱性情報の 受付 脆弱性情報の 検証 脆弱性 認定? 改修 回避策の配布 脆弱性情報の 公開 報告者に連絡 脆弱性情報公開フロー 脆弱性対応フロー ISO/IEC 29147 より引用 No Yes
  11. 11. 2)脆弱性情報公開フロー Copyright (C) Cybozu,Inc. 11
  12. 12. 用語 • 脆弱性情報の受理 • 報告者の方からいただいた脆弱性情報を受け付けること • 脆弱性の認定 • 報告者の方からいただいた脆弱性情報を、サイボウズが脆弱 性として認定すること Copyright (C) Cybozu,Inc. 12
  13. 13. 脆弱性情報公開フロー ご報告 受理連絡 評価連絡 評価 改修 謝辞掲載 報告者 サイボウズ Copyright (C) Cybozu,Inc. 13
  14. 14. ご報告 • 以下のいずれかをご利用ください • 専用の Web フォーム • 脆弱性報告用のメールアドレス • productsecurity@cybozu.co.jp (PGP 鍵はこちらにあります) Copyright (C) Cybozu,Inc. 14
  15. 15. ご報告時に記載いただきたいこと お名前 概要 所属組織 脆弱性を確認した環境 E-Mail 再現手順 ご連絡の内容 脆弱性の公開有無 製品名 / サービス名 Copyright (C) Cybozu,Inc. 15 記載内容に不備がある場合、受付いたしかねる場合があります。
  16. 16. 受理連絡・評価連絡 • お問い合わせごとに、固有の対応番号を ご連絡します(例:CyPentest-●●●) • 報告後 1 週間以内にご連絡します 受理連絡 • 脆弱性が Cy-SIRT に認定された場合、固有の脆弱性 識別番号をご連絡します(例:CyVDB-●●●) • 評価が完了次第、評価結果を連絡します 評価連絡 Copyright (C) Cybozu,Inc. 16
  17. 17. サイボウズが受理する脆弱性タイプ CWE-16 環境設定 CWE-113 HTTP ヘッダインジェクション CWE-384 Session Fixation CWE-20 不適切な入力確認 CWE-119 バッファエラー CWE-399 リソース管理の問題 CWE-22 パストラバーサル CWE-200 情報漏えい CWE-601 オープンリダイレクタ CWE-78 OS コマンドインジェクション CWE-264 認可・権限・アクセス制御 CWE-614 クッキーのセキュア属性不備 CWE-79 XSS CWE-287 不適切な認証 CWE-Other その他の脆弱性 CWE-89 SQL インジェクション CWE-352 CSRF CWE-Design Error システム設計上の問題 CWE-93 CSRF Injection CWE-362 競合状態 Copyright (C) Cybozu,Inc. 17
  18. 18. 対応番号と識別番号 対応番号 脆弱性識別番号 脆弱性として認定 した後に、クローズ します。 脆弱性を一意に識別 するために利用します。 脆弱性を改修し、 脆弱性情報を公開次第、 クローズします。 Copyright (C) Cybozu,Inc. 18
  19. 19. 脆弱性の評価 • 脆弱性に対するオープンで標準的な評価手法である CVSS v3 を使い、脆弱性を 2 つの軸で評価 影響度 情報の CIA を どの程度侵害するか 攻撃容易性 攻撃者がシステムを 容易に攻撃できるか 定量的な数値で脆弱性の深刻度を表現 Copyright (C) Cybozu,Inc. 19
  20. 20. 深刻度を5段階で表現 Copyright (C) Cybozu,Inc. 20 深刻度 CVSS v3 基本値 緊急(Critical) 9.0 ~ 10.0 重要(High) 7.0 ~ 8.9 警告(Middle) 4.0 ~ 6.9 注意(Low) 0.1 ~ 3.9 なし 0 ◇ CVSS スコア 5.7(CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:N) 警告(Middle)
  21. 21. 脆弱性情報の自社公開 サイボウズからのお知らせ • 当該バージョンで改修された脆弱性の有無を掲載 • https://cs.cybozu.co.jp/security/ 不具合情報公開サイト • 当該バージョンで改修された脆弱性の詳細および 回避策(パッチ情報など)を掲載 • https://support.cybozu.com/ja-jp/ 脆弱性を改修したことを自社サイトにて公開 Copyright (C) Cybozu,Inc. 21
  22. 22. 公開対象の脆弱性 Copyright (C) Cybozu,Inc. 22 • 全ての脆弱性情報を公開いたします オンプレミス製品 / モバイル製品 • 以下の条件を満たした脆弱性情報を公開いたします • オンプレミス製品で再現する場合 • 外部から報告を受けた場合 • 改修内容がサービス仕様に影響を及ぼす場合 クラウド製品
  23. 23. オンプレミス製品の情報公開時期(1) Copyright (C) Cybozu,Inc. 23 • 全バージョン: 原則として回避策公開 1 週間前。サイボウズがより深刻と判断し た場合、これよりも通知時期が遅くなる場合があります。 パートナー様 • 全バージョン:回避策公開の当日(休業日の場合、翌営業日) ユーザー様 CVSS v3 基本値 7.0 以上(深刻度 重要/High 以上)
  24. 24. オンプレミス製品の情報公開時期(2) Copyright (C) Cybozu,Inc. 24 • 全バージョン: 原則として回避策公開 1 週間前。サイボウズがより深刻と判断した場 合、これよりも通知時期が遅くなる場合があります。 パートナー様 • メジャー/マイナーバージョン:回避策公開から 6 か月後 • メンテナンスバージョン:回避策公開から 1 か月後 ユーザー様 CVSS v3 基本値 6.9 以下(深刻度 警告/Middle 以下)
  25. 25. クラウド製品の情報公開時期 Copyright (C) Cybozu,Inc. 25 脆弱性の深刻度に拠らず、一律以下の通り • 全バージョン: 回避策公開の当日(休業日の場合、翌営業日) パートナー様 • 回避策公開の当日(休業日の場合、翌営業日) ユーザー様
  26. 26. モバイル製品の情報公開時期 Copyright (C) Cybozu,Inc. 26 • 全バージョン: 回避策公開の当日(休業日の場合、翌営業日) 共通
  27. 27. 第三者が作成したソフトウェアについて • 特に注意喚起が必要とサイボウズが考える 脆弱性情報について「サイボウズからのお知らせ」に 全製品の対応状況を掲載します • 掲載例 https://cs.cybozu.co.jp/2014/001161.html • 公開日一致の原則に従います • https://www.jpcert.or.jp/vh/ Copyright (C) Cybozu,Inc. 27 情報公開
  28. 28. 特殊なケースについて • オンプレミスとクラウドで同一製品をリリースし、 同じ脆弱性の改修時期が異なる場合 • 情報公開時期を比較し、どちらか遅い時期に情報公開します • 利用中の全企業に対して、サイボウズが個別に連絡し 対処可能な製品固有の脆弱性情報は公開いたしません • パワーアップキット • cybozu.com 移行ツール • ガルーンデータコンバーター Copyright (C) Cybozu,Inc. 28
  29. 29. 謝辞掲載 • 脆弱性情報を公開後、報告者の方のお名前を、 Web ページ に掲載いたします。 • 掲載後、メールにてご連絡いたします。 Copyright (C) Cybozu,Inc. 29
  30. 30. 3)脆弱性対応フロー Copyright (C) Cybozu,Inc. 30
  31. 31. 自社製品の脆弱性対応 Cy-SIRT 開発本部 運用本部 評価 改修 管理 公開 Copyright (C) Cybozu,Inc. 31
  32. 32. 他社製品の脆弱性対応 Cy-SIRT 運用本部 開発本部 情報収集 管理 改修 公開 開発元 調整 Copyright (C) Cybozu,Inc. 32
  33. 33. オンプレミス製品の脆弱性の改修 脆弱性の深刻度に応じて対応 • リリース中のメジャー最新バージョンおよび、 サポート中の下位メジャー最新バージョンでメンテナンスリリース • サイボウズがより深刻と判断した脆弱性については、緊急パッチをリリース CVSS v3 基本値 7.0 以上(深刻度 重要/High 以上) • リリース中のメジャー最新バージョンのメンテナンスまたは、 マイナーリリースで改修 CVSS v3 基本値 6.9 以下(深刻度 警告/Middle 以下) Copyright (C) Cybozu,Inc. 33
  34. 34. クラウド製品の脆弱性の改修 脆弱性の深刻度に応じて対応 • 翌月以降の定期メンテナンスにて改修 • サイボウズがより深刻と判断した脆弱性については、緊急メンテナンスを 実施 CVSS v3 基本値 7.0 以上(深刻度 重要/High 以上) • 翌月以降の定期メンテナンスにて改修 CVSS v3 基本値 6.9 以下(深刻度 警告/Middle 以下) Copyright (C) Cybozu,Inc. 34
  35. 35. 更新履歴 • 2014-01-24 初版公開 • 2015-06-16 第2版公開 • 2016-02-01 第 3 版公開 • 脆弱性の評価方法を CVSS v3 に変更しました • 2016-08-12 第 4 版公開 • 脆弱性情報の公開時期を明文化しました • 脆弱性情報の公開先を修正しました Copyright (C) Cybozu,Inc. 35
  36. 36. 4)参考文書・関連文書 Copyright (C) Cybozu,Inc. 36
  37. 37. 参考文書 • ISO/IEC 29147 Information technology — Security techniques — Vulnerability disclosure • ISO/IEC 30111 Information technology — Security techniques — Vulnerability handling processes Copyright (C) Cybozu,Inc. 37
  38. 38. 関連文書 • 脆弱性報奨金制度 報奨金獲得に関するガイドライン http://cybozu.co.jp/company/security/bug- bounty/guideline.pdf Copyright (C) Cybozu,Inc. 38

×