ーシップは情報の迅速な伝達と、問題の効果的かつ迅速な修復に役立つ。
サブ機能 1.1.1.5 ステークホルダに対応するサポートチームとの交流
PSIRTのエンジニアはステークホルダのサポートチームに説明や成果物を提供する。それによって問題が起き情報が公開されても、問い合わせやサポート要求に応えることができる。「サポート」には、フロントライン(ヘルプデスク)要員、プレミアムサポートリソース(テクニカルアカウント管理、ステークホルダサクセスマネージャーなど)、社内外のセールスチーム、インフィールドリソース(コンサルティング、セールスエンジニアリング 、など)が含まれる。
目的:PSIRTは、組織の各種ステークホルダ向けのサポートチームが、サポート/情報/ソリューションのステークホルダの要求に応えることができるように、彼らにタイムリーな情報を提供する必要がある。 ステークホルダを直接支援提供するチームを適切にサポートしないと、ブランドに悪影響を及ぼし、ステークホルダの信頼を失い、将来の収益を損なう可能性がある。 これらの「最前線」のアソシエートは、組織のステークホルダやパートナーからのデータや質問のフィードも提供する必要がある
成果:脆弱性対応の顧客満足度を中心に情報収集するだけでなく、必要に応じて顧客の要求に応えることができるようになる
サブ機能 1.1.1.6 内部ワーキンググループへの参加
より成熟した組織では、PSIRTチームのエンジニアは、さまざまな社内イニシアティブやワーキンググループに参加することで、内部ステークホルダとの関係を構築し強化することができ、PSIRTの技術的専門知識を再確認/確立し、将来の取り組みのためのネットワーク/コミュニケーションチャネルを構築することができる。
目的:PSIRTのメンバーは、組織内のアクティブな参加者として、ワーキンググループやその他の内部イニシアティブに参加することで、PSIRTの役割と専門知識を確立し、チームの参加意識を高める
成果:これらの取り組みに参加することで、PSIRTの信頼性が築かれ、インシデント時に活用できる内部コミュニケーションチャネルが構築される
21
機能 1.1.2 社内のセキュアな開発ライフサイクル
SDLを維持し、実施することは、組織の製品に対するステークホルダの信頼を確立するための基本である。 製品のライフサイクルを通じてセキュリティ基準が継続的に適用されていることが証明できないと、ステークホルダは組織の製品に対する信頼を失い、組織への厳しい要求が課せられ(証明の負担、監査の権利など)、最終的に収入とステークホルダの組織への信頼を失う可能性がある。
目的:優れたSDLの実践に従う組織は、製品の開発や強化を行う前に製品の欠陥を把握することでき、脆弱性の改修に費やすコストが少なくなる。 このライフサイクルのすべての参加者は、セキュリティ機能、全般的な機能、および製品の要件に関する期待を明確に把握し、ライフサイクル内での役割と責任を理解する
成果:明確な製品リリース情報を持ち、配信パフォーマンスに関するメトリクスとデータを提供することができる。 成熟した組織では、過去の製品の一般的な弱点に関するデータを提供し、今後の取り組みで同様の失敗を避けることが可能である
サブ機能 1.1.2.1 SDLの作成とメンテナンスに参加
SDLは、企業が共通の基準に準拠し、安定した再現可能なサービスを提供するのに役立つ重要なガバナンスプロセスである。 組織のSDLの作成と保守にPSIRTが参加することで、適切なセキュリティプラクティスとチェックが確実に行われるようになる。
サブ機能 1.1.2.2 SDLガバナンス/実施に参加
SDLは、企業が共通の基準に準拠し、安定した再現可能なサービスを提供するのに役立つ重要なガバナンスプロセスである。 PSIRTがガバナンスに参加し、組織のSDLを実施することにより、適切なセキュリティプラクティスとチェックが確実に行われ、例外が文書化され、適切に審査されるようになる。
機能 1.1.3 インシデント事後対応プロセス
PSIRTは、組織の提供製品に脆弱性が発見されると、これらの問題(コード関連、プロセス関連、または人事関連)を検討し、参加しているステークホルダおよびグループリーダーにそのフィードバックを提供する仕組みが必要である。 深刻な脆弱性や非常に重大な脆弱
22
性の中には、企業がその問題にどのように対応し、解決したかについて、より詳細な分析が必要になる場合がある。インシデント対応後には、修復やコミュニケーションの取り組みに関わるすべての社内関係者が関わる会議で、何がうまくいったのか、何がよりうまく実施できたはずなのか、そして将来の出来事に対応するためにどのような変更が必要なのかを追求する。
目的:関係するすべての関係者/チームからセキュリティインシデントを含む見通しについて、脆弱性対応中に発生するイベントを明確、現実的な説明を提供する。 重大な問題が発生した場合、PSIRTは、公的に知られている影響の大きい問題を改善するための組織の対応を支援し、指導することができる
成果:PSIRTは、ソフトウェアの脆弱性に対応する組織のパフォーマンスに関するデータを提供する。このデータは、今後のイベントの改善のために「教訓」として組み込まれる
サブ機能 1.1.3.1 セキュリティ上の脆弱性につながる可能性のある開発プロセスの不具合をレビューするプロセスを確立
問題をレビューする一貫したプロセスを確立することで、教訓を踏まえて製品が継続的に改善されるようになる。
サブ機能 1.1.3.2 プロセスの不具合を追跡し、定期的な脆弱性対応のために学んだ教訓を調整し、重要なステークホルダの問題を定期的にレビューする
PSIRTは、レビューミーティングの所見が適切にフォローアップされていることを文書化し、報告し、確実にする必要がある。対応していないまたは未解決のまま放置された場合、慢性的な問題は、製品品質の低下や将来のセキュリティ問題の増加、およびステークホルダの信頼感の全体的な低下につながる可能性がある。
サブ機能 1.1.3.3 プロセスと更新のリリースタイミングをレビューする
各領域の強みと弱みを追跡する。
サブ機能 1.1.3.4
人目を引くインシデントの対応から組織としての教訓を整理し、必要に応じて事業をはじ
23
めとするステークホルダへの報告データを提供する。
サブ機能 1.1.3.5
事後対応プロセスで特定された内部プロセスの再調整を支援し、改善の進捗状況を追跡する。
サービス 1.2 発見者のコミュニティとの交流
このサービスではステークホルダとしてのリサーチコミュニティとの交流について記載する。発見者は、学者、開発専門家、プロフェッショナルセキュリティ発見者、または愛好家
24
がいる。 発見者には、さまざまな役割と独自の視点がある。 出版や学業成果を期待して、理論的な攻撃や欠陥を研究する学者や、金融や企業の手段によって動機付けられた専門的なセキュリティ発見者などがいる。他の人々は、余暇に参加している愛好家で、彼らのコミュニティから尊敬と賞賛を得ることを目的としている。発見者のコミュニティとの交流は、製品セキュリティインシデント対応に対する先を見越したアプローチである。
目的:組織の PSIRT が研究コミュニティにも積極的に貢献し、製品セキュリティに影響を及ぼす可能性のある脅威に対する状況認識をしやすい環境を構築する。 発見者との否定的または敵対的な関係は、脆弱性に対処する上で、不利益を被る可能性のある研究の早期通知の機会損失につながり、それによって組織に対するステークホルダの感情に影響を与える可能性がある
成果:コミュニティとの交流が成功すれば、製品のセキュリティを守るために必要な組織の評判と市場の地位が強化される。 さらに、発見者との積極的に交流することは、組織が公開のための対応を準備する助けとなり、研究および/または脆弱性開示への早期のアクセスに繋がり、組織が情報公開のための対応を準備する助けとなる
機能 1.2.1 発見者との交流
会社の製品に関する専門知識を持ち異なるチャネルにアクセスできる発見者と積極的な対話を維持するために活動する。
目的:Twitterなどのソーシャルメディアサイトにプレゼンスを構築する。 発見者やステークホルダが問題を見つけた可能性がある指標については、Twitterやその他の一般的なサイト/フォーラムを監視する。発見者と会える可能性のあるセキュリティ会議に定期的に出席する
成果:PSIRTは、高い評価を得ている発見者からより高度な警告を含む質の高い報告を受け取る
サブ機能 1.2.1.1 プライベートな契約に適格な発見者を招待する
一部の組織は、特定のセキュリティ発見者との関係を深めることに価値を見出す。 組織にとって貴重なものであれば、発見者とプライベートな契約を結ぶことがある。
25