★☆★JNSAメールマガジン 第130号 2018.2.9 ☆★☆

こんにちは
JNSAメールマガジン 第130号 をお届けします。

いよいよSECCON2017決勝大会が来週末に東京電機大学にて行われます。
17日(土)が国内決勝大会、18日(日)-19(月)が国際決勝大会となります。
詳細はこちらをご覧下さい。
https://2017.seccon.jp/news/summary/seccon-20171/

18、19日には併催カンファレンスを同会場丹羽ホールにて行います。
DEFCONで5年間CTFを運営したVito氏による講演の他、バイナリかるた体験会、GPSハッキング/ロボットをハッキングなど多様な講演が決まっています。
ぜひ多くの方のご来場をお待ちしています。

さて今回のメールマガジンは、JNSA会員交流部会長であり、コンピュータソフトウェア協会(CSAJ)Software ISAC Leaderの萩原健太氏に「安心・安全のソフトウェア創出社会に向けて」をご寄稿いただきました。

【連載リレーコラム】
安心・安全のソフトウェア創出社会に向けて
―今春設立予定の「Software ISAC」について―

コンピュータソフトウェア協会 Software ISAC Leader 萩原 健太

脆弱性に適切に対応でき、より安全なソフトウェア創出ができる社会を目指す「Software ISAC」についてお話をいたします。

2018年も早々にCPUの脆弱性「Meltdown」と「Spectre」が取り上げられ、情報収集、パッチの適用・未適用の検討など、情報システムに関わる担当者が対応に追われた組織も多かったのではないでしょうか。(さらにパッチを適用すると、OSレベルでの著しいパフォーマンス低下を招いたり、パッチが公開されたと思ったら引っ込んでしまったりと…)供給者も利用者も混乱した、学びの多い脆弱性に関するイベントまたはインシデントです。

さて時代は様々なモノとモノが繋がる「Internet of Things (IoT)社会」の実現に向けて、また情報を集積・活用する「データ主導社会」へ向けて変化しようとしています。しかし、モノに動けと念じてモノが動くわけでもなく、データを活用せよと言ったところで勝手にデータ分析が始まるわけではありません。IoT/データ主導社会を実現していくためには、モノやデータを動かし、繋げ、制御し、活用するプログラム、すなわち「ソフトウェア」を欠かすことができません。

ソフトウェアの開発はオープンソースソフトウェア(Open Source Software,OSS)を活用することによって、幅を広げ、より早く開発できるようになりました。今後もOSSを活用したソフトウェア開発が行われていくことは間違いないでしょう。なお、開発したソフトウェアが増加すればするほど、供給者も適切にOSSの活用状況を管理する必要があることは言うまでもありません。

OSSに限らず、昨年発見された脆弱性の総数は14,712件と2016年の6,447件と比較すると2倍超の増加を見せています。また2018年も1ヶ月強で1,500件近い脆弱性が発見されていることから、増加(発見できるようになった)傾向が継続していることは明らかです。
(※CVE Detailsを参照(https://www.cvedetails.com/))

IoT/データ主導社会、OSSを活用した開発、脆弱性の増加などを鑑みて、より脆弱性に対して円滑な連携を行うことができる環境と、より安全なソフトウェアが創出される環境の整備が必要であると考え、Software ISAC(Information Sharing and Analysis Center)の構築を進めています。

例えば、JPCERT/CCが提供する「製品開発者登録」(https://www.jpcert.or.jp/vh/regist.html)の利用を製品・サービスの供給者に促進する取り組みや、製品・サービスの開発に関する情報を独自にとりまとめて、まずはOSSの活用状況を把握し、データベース化したりするなど、脆弱性対応と脆弱性の影響範囲の特定を行いやすい環境の整備をしてきたいと考えています。またCSIRTの国際的なコミュニティであるFIRSTが提供している「PSIRT Service Framework 1.0」
(https://www.first.org/education/Draft_FIRST_PSIRT_Service_Framework_v1.0)を翻訳、活用し、国内におけるPSIRT(Product Security Incident Response Team)の設置を促進していきます。

さらに、ソフトウェア供給者としての安全なソフトウェアの追及意識を高めていくことは勿論のこと、より安全なソフトウェア開発が行われる環境の整備として、JPCERT/CCの「セキュアコーディング」(https://www.jpcert.or.jp/securecoding/)、IPAの「セキュアプログラミング講座」(https://www.ipa.go.jp/security/awareness/vendor/programming/)、OWASPの「アプリケーションセキュリティ検証標準」(https://www.jpcert.or.jp/securecoding/OWASP_ASVS_20160623.pdf)をはじめ、現在公開されている標準や基準を学び、活用、推奨し、SDL(Secure Development Lifecycle(セキュアな開発ライフサイクル))の実践ができるようにしていきたいと考えています。

これは個人的な思いですが、本国会で提出が予定されている改正著作権法が成立した場合には、より若い人材にリバースエンジニアリングを行いやすい環境を提供していきたいという思いがあります。リバースエンジニアリングの適法化は、バグハンターが安心して報告できる環境や、特定の脆弱性の発見手法の正当性を後押しすることとなり、より安心・安全なソフトウェアの創出に繋がるためです。

ソフトウェアが必要不可欠な時代において、日本の産業がよりセキュアに発展できるよう、影ながら貢献していきます。

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★ISEPA主催「情報セキュリティ人材育成セミナー」の参加受付中です。
 情報セキュリティへの対応を適切に行える知識を持った人材を育成する
 ためのポイントを紹介いたします。

 日 時:2018年2月27日(火)13:30−17:00
会 場:浅草橋ヒューリックカンファレンス Room0
主 催:情報セキュリティ教育事業者連絡会(ISEPA)
【詳細はこちら↓】
http://www.jnsa.org/seminar/2018/0227/

★IoTセキュリティWGでは、IoTセキュリティガイドラインなどの作成や
具体的な対策に携わった方々講師に招き、セミナーを開催いたします。

 「IoTセキュリティセミナー
−IoT機器を守るために何を学ばなければならないか?−」
日 時:2018年2月26日(月)13:30−17:00
会 場:浅草橋ヒューリックカンファレンス Room1
主 催:IoTセキュリティWG
【詳細はこちら↓】
http://www.jnsa.org/seminar/2018/0226/

★ゲーム教育WGが制作した2つのゲーム「セキュリティ専門家人狼」
「Malware Containment」を体験できるイベントを開催します。
参加受付を開始しましたので、ぜひこの機会に体験ください。

 「セキュリティゲーム体験イベント」
日 時:2018年3月8日(木)13:30−17:00
会 場:浅草橋ヒューリックカンファレンス Room0
主 催:ゲーム教育WG
【詳細はこちら↓】
http://www.jnsa.org/seminar/2018/0308/

★アイデンティティ管理WG主催の1月26日に開催された
「クロスボーダー時代のアイデンティティ管理セミナー」の
講演資料を公開いたしました。
【詳細はこちら↓】
http://www.jnsa.org/seminar/2018/0126/

★JNSA西日本支部では、「NSF 2018 in Kansai」を3月16日(金)に
開催いたします。後日HPセミナー情報で公開予定です。

 

【事務局からの連絡、お知らせ】
★2月1日にニコファーレ開催された「サイバーセキュリティ月間」
 キックオフサミットの模様がYouTube「NISCサイバーセキュリティ
 意識啓発動画ポータル」で公開されました。
 https://www.youtube.com/watch?v=fkgApZpzy_Q
 ※3月18日までの限定公開となります。ぜひご覧ください。

★「Black Hat Asia 2018」ディスカウントコードのお知らせ
JNSAは、2018年3月20-23日にシンガポールで開催される
「Black Hat Asia 2018」にSupporing Associationとして協力しています。
参加を予定されている方はディスカウントコード「JNSAbr18 」をぜひ
御利用下さい。

登録画面
https://www.blackhat.com/asia-18/registration.html?elq_mid=342&elq_cid=72509

★サイバーインシデント緊急対応企業一覧を公開しています。
http://www.jnsa.org/emergency_response/
緊急対応可能な窓口をお持ちの会員企業様は、
JNSA事務局までお問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第130号
発信日:2018年2月9日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.