サブ機能 1.2.1.2 会議やその他のイベントにおけるセキュリティ発見者との交流
一部の組織は、特定のセキュリティ発見者と対面することに価値を見出す。 組織と発見者の間の信頼関係を構築するのに役立つ。
目的:発見者は、セキュリティカンファレンスやその他のイベントに出席して調査結果を議論し、学び、他社とネットワークを形成している。 顔を見合わせることで、相互の信頼を築く機会が与えられる
成果:発見者との積極的に交流することで、発見者との関係を確立/改善する可能性がある。発見者は、このエンゲージメントの結果として問題を見つけたときに報告する可能性が高くなる
サブ機能 1.2.1.3 セキュリティ上の欠陥やトピックに関する学術研究を後援する
一部の組織は学術研究を後援することに価値を見出す。 組織にとって貴重な場合は、学術会議があなたの製品やサービスに関係しているかどうかを調査する。
目的:学術的なカンファレンスは、組織に研究の新しい分野や潜在的な脆弱性を特定する機会を提供している。 後援することで、組織は研究論文に早期にアクセスでき、問題が公開される前に対処することができる
成果:学術研究を支援することは、発見者に別の報告手段を提供する。 それは、組織が研究分野を指示/示唆することを可能にするかもしれない。 潜在的な従業員のパイプラインを提供することも出来る
サービス 1.3 コミュニティと組織との交流
「上流」と「下流」と呼ばれることもあるが、コミュニティへの参加は、脆弱性を協力して改修する活動を育成したり、組織のグループ内の他者との相互援助を支援したりするために不可欠である。 「上流」は、組織の製品のためのコンポーネントやプロジェクトの調達先となるグループまたは個人に使用される用語である。 「下流」とは、組織が提供するアウトプットを、彼らの製品の一部として利用する個人、グループ、または組織を指す。 下流ステークホルダとの交流は、以下のサービス1.4でカバーされている。
26
活発な上流のコミュニティは、製品ストリームへのイノベーションの促進に役立ち、複雑な脆弱性改修の負担を軽減し、しばしば組織内で不十分な重大な専門知識の欠如を埋めることができる。 同様に、他の組織の個人やチームとのプロフェッショナルな関係を築くことは、外部の視点、専門知識、歴史的知識へのアクセスを可能にすることによって、PSIRTの機能を事実上拡張するのに役立つ。 これは、セキュリティコミュニティをステークホルダとして積極的に関与させ、パートナーや同業者のPSIRTとの関係を確立することで達成できる。
目的:PSIRTは、パートナーや仲間との活発なエコシステムを構築し、維持する必要がある。 これらのコミュニティとの関係は、欠陥を発見し修復するための「多くの目」のアプローチを支援するだけでなく、脆弱性修復の全体的な経験を改善するために、異なるグループ間のグッドプラクティスを共有する助けにもなる
成果:パートナーや仲間との良好な関係や活発なエコシステムは、脅威情報とベストプラクティスの情報共有を促進する。 セキュリティコミュニティで高い評価を得ているPSIRTは、重要な状況に対処するためのリソースとコラボレーションを支援することができる
機能 1.3.1 上流コミュニティとパートナーの定義と交流
多くの場合、製品には、組織によって作成されていないコードやコンポーネントが含まれる。 これらの素材の作成者は、第三者、サプライヤ、上流のベンダ、OEM、または単にパートナーと呼ばれることがある。 エコシステム内のこれらのパートナーを特定し、サードパーティのコードで脆弱性が発見された場合に、組織がどのように連絡して取り組むかを判断することは有用である。
目的:組織がコンポーネントを受け取る提供元の個人またはグループ、または組織からコンポーネントを受け取るグループと協調して活動する関係を確立する。PSIRT が上流のステークホルダに対して誰がどのように連絡するか理解することは、PSIRT に問題が寄せられる状態を維持できるばかりではなく、PSIRT がその問題から派生する他のコンポーネントへの影響を見つけた際に誰に連絡する必要があるかを理解することになる
成果:PSIRTは、コンポーネントが誰からおよび、どこから供給されているのかをよく理解する。これによりコンポーネントに欠陥が発見された場合、情報や修正プログラムにすばやくアクセスできる
27
サブ機能 1.3.1.1 上流のコミュニティとパートナーを定義し、文書化する
上流のコミュニティおよびパートナーは、組織の提供製品に組み込まれているコード、知識、および知見を提供している。PSIRT がセキュリティ脆弱性の報告を受け処理する時に、迅速かつ効果的なやりとりを確実にするために、これらのサプライヤを知り、交流することが重要である。 理想的には、これらの関係は契約書に文書化され、非開示契約やその他の組織の保護の対象となっていることである。
サブ機能 1.3.1.2 活発な対話の中でコミュニティやパートナーと交流するチャネルを見つける
各上流コミュニティまたはパートナーは、ソフトウェア/製品の開発とコミュニケーションに使用する方法やツールが異なる場合がある。 PSIRTは、これらの外部グループとの連携方法を理解し、PSIRT がセキュリティ問題に関して外部の協力者と協力するための適切な連絡先/方法を持つことを確実にする必要がある。
サブ機能 1.3.1.3 プロジェクトの参加、これらのプロジェクトで利用可能なリソースの作成、上流の開発者やグループのメンターとしての活動を通じて、これらのコミュニティに専門知識を積極的に提供する
上流のコミュニティやパートナーに参加することで、グループ間で貴重な信頼関係を築くことができるばかりでなく、組織の専門知識を活用して外部チームの能力を強化することもできる。
サブ機能 1.3.1.4 カンファレンスなどのコミュニティイベントに参加し、参加者と直接仕事する
カンファレンスや専門組織の会議は、PSIRTがステークホルダやパートナーと対話し、組織に直接フィードバックを与えるための絶好の機会であるばかりでなく、将来の調整や、コラボレーションのために活用できる外部コミュニティの肯定的評価を得るのに最適である。
サブ機能 1.3.1.5 プロジェクトのセキュリティチームおよび、セキュリティリーダとの交流
PSIRTは、上流のソフトウェア/ハードウェア/サービスプロバイダーのセキュリティチー
28
ム(PSIRT、CSIRT、セキュリティエンジニア)にだれがどのように連絡するか理解することが重要である。PSIRT とこれらのグループ間でコミュニケーションと信頼関係を確立することは、組織の危機や脆弱性の改修時の円滑なやりとりを確実にするのに役立つ。
機能 1.3.2 ピア PSIRT 間の交流
ピアPSIRT間の関係を育むことは、インシデントの情報共有や潜在的な相互援助、調整に役立つ。これらのピア組織と連携することで、脆弱性を改修するための重要なデータを埋めることができ、2つのグループが問題を相談する際にピアの専門知識を組織に実質的に組み込むことができる。
目的:脆弱性情報、脅威情報、およびベストプラクティスを共有するために、組織と他のPSIRTチームとの間のコミュニケーションチャネルを提供する
成果:ピアPSIRTのコミュニティは、ソフトウェアサプライチェーンに関連する脆弱性に対応するために有益である。 より速い対応が期待できる
サブ機能 1.3.2.1 ピアPSIRTを文書化し定義する
将来の使用のために、連絡先情報とエンゲージメントプロセスを収集する。 PSIRTは、大規模なPSIRTコミュニティと連携して対話し、教訓を踏まえたベストプラクティスと洞察を共有する必要がある。 脆弱性が発生した場合、それらはしばしば協調的な複数グループの方法で解決され、PSIRTはこれらの外部の情報および/または支援のために活用することで内部能力を拡張することができる。
サブ機能 1.3.2.2 組織間の責任ある開示のパラメータを定義する
PSIRT は、脆弱性情報の共有パラメータと契約を注意深く文書化する必要がある。 PSIRTは、脆弱性発見者および/または報告組織によって設定された禁止事項を尊重するべきである(また、その尊重を期待する)。
サブ機能 1.3.2.3 安全な情報共有チャネルを確立して、セキュリティ脆弱性を回避してデータ共有を促進する
PSIRTは、脆弱性およびその他の機密情報を、責任ある開示に関わる当事者と安全に共有する方法を確立すべきである。 これは、アウトオブバンド、非電子通信、暗号化されたE
29
メール/ポータル、またはプライベートメーリングリストなどのオプションがある。
サブ機能 1.3.2.4 業界 SIG および/または機能に参加する
業界の関心のあるトピックに関する同業者との共同作業は、人脈形成を支援するだけでなく、共同で問題を解決することによって職業の専門化を促進する。
機能 1.3.3 コーディネーター(CERT、CSIRT および、その他の調整組織)との交流
政府のCERTとCSIRTと協力することで、情報共有の信頼を築き、PSIRTが評価の高い同僚の信頼と尊敬を得るのに役立つ。 関連する利害関係者やコミュニティを持つ組織には、FIRST、MITER、Open Standards for the Information Society(OASIS)、the Industry Consortium for Advancement of Security on the Internet(ICASI)、ISOなどの業界コンソーシアムなどがある。 参加するグループは、国、企業、地域、または産業セクタに基づいて見ることができる。
目的:組織は未知の脆弱性を使用してネットワークに侵入する攻撃のターゲットとなることがある。 CERTとCSIRTとの関係を構築することで、早期に潜在的な脆弱性レポートを取得するために必要な信頼と連絡が可能になる
成果:CERT、CSIRT、およびその他の調整センター組織との良好な関係は、早期に脆弱性を認識するために重要である。 より速い対応が期待できる
サブ機能 1.3.3.1 活発な対話の中でこれらのコミュニティやパートナーと交流するチャネルを見つける
PSIRTは、希望するグループが対話に参加する場所を調査し、それらのフォーラムに参加しようと努力するべきである。
機能 1.3.4 セキュリティベンダとの交流
大規模なセキュリティベンダは、インシデント発生時にステークホルダと協力して活動し、PSIRT が平時にはアクセスできないフォレンジックデータを持つことがしばしばある。これらのベンダとの関係構築は、信頼と相互尊重の構築に役立ち、PSIRTが他の方法では利用できない可能性のある重要な脅威データへのアクセスを助ける可能性がある。
30