目的:アクティブな攻撃で使用されている(または使用可能な)脆弱性を発見したセキュリティベンダとの正式なパートナープログラムを構築する。 最低限、パートナー間の非公開契約に署名し、より徹底した法的合意を推奨する
成果:セキュリティベンダは、アンダーグラウンドでしか発見されない脆弱性やエクスプロイトを監視するのに役立ち、共同作業して製品セキュリティを向上させる良い機会を提供することができる
サブ機能 1.3.4.1 組織が提供する製品のためのスコープ内にバグバウンティベンダを定義し、文書化する
セキュリティベンダを知り、適切に関与させることで、PSIRTに問題を報告する際に、脆弱性の報告/改修に関するコミュニケーションや取り組みを加速することができる。 これらのベンダがアクセスして保持するものを理解することは重要である。バグバウンティベンダとの関係は、関係者が行動する方法、アクセスする内容、データをどのように共有するのかを誰もが理解できるように、ベンダとの関係確立前に検証され、完全に文書化されるべきである。
サブ機能 1.3.4.2 セキュリティベンダと対話するチャネルを見つける
PSIRTは、連携を希望する外部グループを調べ、それらのフォーラムに参加しようと努力するべきである。
機能 1.3.5 バグバウンティベンダとの交流
コミュニケーションや脆弱性管理に関するデータ共有の取り組みを支援するために、バグバウンティベンダと関係を構築する。
目的:あなたの組織がバグ発見者に報奨金を支払うベンダ/ブローカから頻繁に脆弱性の報告を受ける場合、SLAを確立し、その組織と直接的な関係を構築すること検討する
成果:バグバウンティベンダとの直接的な関係を構築することは、製品のセキュリティパッチをリリースするプロセスを説明するための建設的な対話開始につなげることができる。同意できるSLA確立や、このような関係は、すべてのステークホルダにベネフィットのあるゼロデイ脆弱性のリスク低減に役立つ
31
サブ機能 1.3.5.1
組織が提供する製品に適用されるバグバウンティベンダを定義し、文書化する。
サブ機能 1.3.5.2
バグバウンティベンダと活発な対話を行うためのチャネルを特定する。
サービス 1.4 下流のステークホルダマネジメント
このサービスではステークホルダとしてのステークホルダ基盤との関わり方について記載する。製品セキュリティレスポンスを中心にステークホルダコミュニティと対話するためのプロセスと方法を確立する。組織のプロダクト開発に関わるステークホルダを満足させることは重要で、組織の現在および将来の収益機会の増加に繋がる。下流のステークホルダは製品やサービスを日常的に使う中で、通常のバグやセキュリティ上のバグを見つけることが良くある。こうした発見に対応することは、組織の信頼性を確立し、強化するのに役立ち、ブランドに対する善意を生み出すのに効果的である。
目的:PSIRTは、製品のセキュリティ脆弱性に関する情報やインシデント対応の情報を伝達するために、組織のステークホルダ基盤とのチャネルを構築し、維持する必要がある
成果:コンシチュエンシー(関係者)との良好な関係を築くことは、収益を確かなものとする(または場合によっては増加させる)するだけでなく、ステークホルダに製品への意見を提供し、課題解決への関与と一体感を醸成する
機能 1.4.1 下流のステークホルダとの交流
あなたの製品やサービスのステークホルダは、情報や意見を共有し、組織がセキュリティ上の脆弱性をどのように処理するかについてのサポートを得る手段が必要である。組織のステークホルダと積極的に協働することは、ポジティブなブランド体験を提供し、ステークホルダロイヤリティを維持/向上させるのに役立つ。
目的:組織内の下流ステークホルダにPSIRTとのコミュニケーションを行う方法
32
や、セキュリティ問題のサポートを受ける方法を提供する。ステークホルダの問い合わせや要求に適切に反応しないと、否定的なコメントがよせられたり、ライセンスが更新されなかったり、新しいビジネス機会が喪失することによってブランドに悪影響を与える可能性がある
成果:下流ステークホルダは、セキュリティ上の欠陥に関する迅速かつ明確なガイダンスを受けるべきである。これにより、製品の信頼水準が向上し、ブランドロイヤリティが向上する。下流ステークホルダはPSIRTの助けを借りて積極的な経験を積み、ステークホルダとのPSIRT専門知識を確立する必要がある。これにより一般的には、ステークホルダのブランド全体の視点を改善する
サブ機能 1.4.1.1 明確な製品ライフサイクルとサポートポリシーを提供する
ステークホルダがセキュリティ脆弱性の改修や製品のサポート期間に関して何を期待しているか、組織は明確かつ公的に記述する必要がある。詳細については、サービスエリア 4 を参照すること。
サブ機能 1.4.1.2 ステークホルダとの交流
組織の製品やサービスのステークホルダは、報告されたセキュリティ上の欠陥について質問をしたり、援助を必要としたり、是正処置を必要とする。PSIRTは、利害関係者の要求に積極的に関与し、セキュリティ脆弱性に関する明確かつ正確なガイダンスを提供し、セキュリティの修正がステークホルダに提供されるまでリスクの軽減策を提供する必要がある。
サービス 1.5 組織内でのインシデントに関するコミュニケーションの調整
セキュリティインシデントは、組織内の多くの社内グループや製品に影響を及ぼす可能性がある。PSIRTは、脆弱性対策に関する調整をするとともに、インシデントに関する情報を許可された内部関係者に共有するためのハブとして機能する中心的な存在である。
目的:ビジネス内のすべての関係者が、セキュリティ脆弱性の対応状況に関する情報を知っていることを確認し、次のステップを妥当に判断できるようにする。コミュニケーションはさまざまな形(Eメール、伝統的なメール、RSSフィード、ソーシャルメディアなど)で取ることができるが、最終的にはすべての情報提供が、ステークホルダが懸念する脆弱性?インシデントの情報を明確かつタイムリーかつ
33
正確に提供する
成果:内部ステークホルダは、組織の提供物に対する脅威の範囲と影響を知ることになる。ステークホルダには、セキュリティ上の脆弱性が改修され、軽減策が利用可能になるため、適切な次のステップを実行できるように情報を提供する必要がある
機能 1.5.1 通信チャネル/情報提供方法を提供する
ステークホルダと効果的に関わるために、PSIRTはさまざまなコミュニケーションチャネルを提供しなければならない。ステークホルダごとに異なる情報の提供方法を望んでいる可能性がある。PSIRTは、情報がリリースされるときに、できるだけ多くの関係者が閲覧できるよう考慮する必要がある。また、さまざまな情報源からのレポート、コメント、および質問の収集ができるようにしておくべきである。
目的:ステークホルダにPSIRTとのコミュニケーションを可能にする方法を提供する
成果:Eメール、チャット、ウェブフォームなどのチャネルを用いることで、社内のステークホルダがPSIRTと情報を交換し、情報を共有できるようにする
サブ機能 1.5.1.1 脆弱性レポートをPSIRTに伝達する方法に関する明確なチャネルを提供する
ステークホルダには、PSIRTに対して、質問を提出し、不具合のステータスを確認し、問題を報告する手段が必要である。ステークホルダがセキュリティ上の脆弱性の影響を受けるか、またはセキュリティ上の脆弱性を発見した場合、PSIRT にレポートを作成して送信することが容易になる。
サブ機能 1.5.1.2 内部コミュニケーションチャネルを提供する
PSIRTは、内部のステークホルダとの関係を保つために、脆弱性の改修状況を告知するためのコミュニケーションチャネルを提供する必要がある。内部のステークホルダは、PSIRT に簡単にコンタクトを取ることができ、問い合わせから何が期待されているかを理解できるはずである。
34
サブ機能 1.5.1.3 外部コミュニケーションチャネルを提供する
外部の利害関係者を巻き込むために、PSIRTは脆弱性の修復状況を告知するためのコミュニケーションチャネルを提供する必要がある。これには、社外のコミュニケーションの有用性を確認するために、外部のコミュニケーションをめぐる活動を検証?評価することが含まれる。
機能 1.5.2 安全なコミュニケーションの管理
多くの場合、PSIRTは秘密とみなされる(すなわち、流通が禁止されている。)情報を処理する必要がある。PSIRTは、発見者、他の組織、またはさまざまな内部リソースと安全かつ秘密裏にコミュニケーションできる必要がある。開示契約を遵守し、非公開でコミュニケーションすることは、発見者からの信頼を築くのに役立つ。権限のない当事者から秘密の脆弱性情報を保護することも、秘密保持の条項に従って、問題を適切かつ効果的に管理するのに役立つ。安全なチャネルは、公開されたくない発見者の個人情報を保護するのにも役立つ。データの使用が終了した後、データが適切に処分されるようにするための保持方針を確立する必要がある。
目的:当事者がセキュリティ脆弱性に関する情報を秘密裏にやりとりするための機能を提供する。これらのチャネルは、セキュリティ脆弱性と発見者の秘匿性を、それらが公開可能になるまでの間保護する
成果:セキュリティ問題のサポートに関与する当事者は、その情報を知る必要がある他の関係者と個人的に情報を共有することができる。発見者は、彼らの懸念が組織によって守られると感じた場合、再度レポートをその組織に送ってくる可能性が高くなる
サブ機能 1.5.2.1 安全なコミュニケーションチャネルを提供する
PSIRTは、組織に影響を与える脆弱性に関わる発見者およびパートナーに対して情報を共有するためのプライベートで安全な方法を持つようにする必要がある。
サブ機能 1.5.2.2 安全なファイルを送信する方法を提供する
PSIRTは、組織に影響を与える脆弱性に関わる発見者およびパートナーに対して情報を共有するためのプライベートで安全な方法を持つようにする必要がある。
35