セキュリティインシデントに対する専門担当の対応

2021年12月、「Log4Shell」という世界を騒然とさせたセキュリティインシデントがありました。このような問題には、事前準備だけでなく、慎重かつ組織的な対応が重要であるという教訓を与えました。

Log4Shellは、深刻度が最高レベルの評価(CVSS 10.0)を獲得するほど致命的な脆弱性でした。世界中の多くの企業が使用する、Apache Software FoundationのLog4jライブラリが影響を受けました。

Wibu-Systemsの主要製品(CodeMeter RuntimeおよびSDK、CodeMeter Protection Suite、CodeMeter License Central、CmCloud、WibuKey)は被害を受けず、CodeMeter Keyring for TIA PortalとCodeMeter Cloud Liteはマイナーアップデートで済みました。

しかし、その裏側では何が起きていたのでしょうか。Wibu-Systemsは、このようなサードパーティ製コンポーネントの脆弱性にどのように対応しているのでしょうか。また、Wibu-Systemsのソフトウェアに問題があった場合にはどうなるのでしょうか。そこでここからは、当社のセキュリティインシデント対応プロセスについてご紹介します。

1. インシデントレポート

脆弱性やインシデントの報告には、次の2つの方法があります。

• 外部報告：脆弱性の可能性に関する情報を電子メールまたはインシデント管理システムから送信します。
• 内部報告：内部スキャン、自動コードレビュー、またはその他のセキュリティチェックで発見された内容は、内部追跡システムに直接フラグを立てます。

2. 分析

脆弱性に関する情報は、Wibu-CERT(Computer Emergency Response Team)とも呼ばれるProduct Security Incident Response Team(PSIRT)へ送られます。4人のセキュリティ専門家が在籍し、彼らは対応の調整とProduct Security Board(開発チームから割り当てられた専門家グループ)による脆弱性分析のサポートを担います。脆弱性の深刻度を把握するため、産業標準であるCVSS(Common Vulnerability Scoring System)に沿ったスコアを対象製品に付与します。

3. 対策

このフェーズでは、2つの重要なタスクを行います。

• 処置：分析によってインシデントの重大性が確認されると、開発追跡システムにフラグが立てられます。このフラグにより、開発者は緊急の対応(計画されたリリースで脆弱性に対処、もしくは直ちにバグを修正しリリース)が必要であると認識します。
• 連携したコミュニケーション：評価結果は報告者に提供され、必要であれば報告者とさらなる調整を図ります。CERTのメーリングリストでは、脆弱性と必要なバグ修正について、顧客へ的確に知らせます。これにより、例えば、脆弱性が公になる前に、顧客側でセキュリティ勧告を準備し、必要な修正をテストすることができます。

4. 公表

Security Advisories（セキュリティ勧告）は公表され、脆弱性の詳細と利用可能なセキュリティ修正プログラムを記載した「Tech News Flash」メールが顧客、エンドユーザー、販売店、そして関連当局に送信されます。

このシンプルかつ重要なプロセスにより、Wibu-Systemsは迅速な対応、および影響を受けるすべての顧客やエンドユーザーに対する解決策の用意を可能にしています。すべてのセキュリティインシデントに対するガイドラインを忠実に守り、オープンかつ誠実であることを心がけ続けます。

 

KEYnote 43 – Edition Spring/Summer 2022