セキュリティの
学び場

今回の解説ニュース

脆弱性発見時の対応フェーズについても解説、CSAJ「ソフトウェアの安全性を意識した管理体制」公開

一般社団法人コンピュータソフトウェア協会（CSAJ）Software ISACは4月28日、「ソフトウェアの安全性を意識した管理体制（ver.1.0）」を公開した。(記事はこちら)

自社でソフトウェア開発を行う組織向けに、どのような管理体制を持つべきかについてまとめられています。ソフトウェア開発のセキュリティ体制として何が必要かについて説明します。

同資料は、組織の規模にかかわらず、ソフトウェア開発を行う組織の管理者や責任者を対象に、最低限取り組むべきソフトウェア管理の在り方についてまとめられています。その中でも「ソフトウェア管理体制の構築に向けて」では、ソフトウェアの管理体制として代表的なPSIRTについて触れられています。

PSIRTとはProduct Security Incident Response Teamの略で、組織が提供する製品にかかわるセキュリティリスクに対応するためのチームです。国内でも製造業を中心にPSIRTを設置する組織が増えてきました。また「ソフトウェア脆弱性の把握と管理」では、ソフトウェアには脆弱性が含まれるという考えを前提に、ソフトウェアの管理体制としてどうあるべきかについてまとめられています。

さらに「普段からのトレーニングと教育」では、日進月歩で変化するITやセキュリティについて、ソフトウェアの開発にかかわる組織で、技術者だけでなくあらゆる立場の人たちが情報と知識のアップデートを行うべきであるとしています。

同資料で何度か使われている「ゆりかごから墓場まで」という言葉の通り、ソフトウェアが生まれて死ぬまで組織が責任をもって管理する方法について、概要がわかりやすくまとめられています。

管理体制が不十分な事例

管理体制が不十分と感じる事例として、PSIRTのようなセキュリティリスクに対応する組織が設置されていないことが挙げられます。PSIRTが設置されていない組織でインシデントが発生した場合に、考えられる状況について説明します。

PSIRTが設置されていない組織でインシデントが発生した場合、セキュリティリスクを一元的に管理する組織がいないため、情報が分散してインシデントの収束に時間がかかってしまう可能性があります。社内外を問わずインシデントの窓口としてPSIRTが設置されていることで、セキュリティ対応の指示命令を直接かつ迅速に行うことも可能です。

また、PSIRTが設置されていることでインシデント対応における外部組織との連携を可能にする場合があります。近年ではサイバー攻撃の高度化と複雑化により、組織単体でのインシデント対応が困難となる事例が増えてきました。何かあった時に頼ることができる外部組織がいることで、想定外のインシデントへ柔軟に対応することが可能です。

当社でも緊急対応として何かあった時の相談窓口を無償で提供していますが、管理体制が事前にあるかどうかで、インシデントが収束するまでの時間が変わってくると実感しています。

問い合わせの多い、脆弱性「発見」取り組みの具体例

ソフトウェアの脆弱性に関するお問い合わせで一番多いのは「発見」に関するお問い合わせです。具体的な内容について説明します。

さまざまなセキュリティ規格やガイドラインで脆弱性の発見と改善が求められる中で、まず着手しなければならない脆弱性の発見にかかわる取り組みを我々のようなセキュリティ専門企業に依頼する組織も増えてきました。

かつては一部の技術者が属人的に対応してきた脆弱性を発見する作業も、最近はより結果の客観性と品質の安定性が求められるようになり、同資料でも触れられているASVSなどの国際基準に照らし合わせて脆弱性診断が行われることが一般的に求められています。

ASVSとはApplication Security Verification Standardの略で、アプリケーションセキュリティ検証標準とも訳されます。OWASPと呼ばれるボランティアのセキュリティ団体が発行したセキュリティ要件を19のカテゴリに分類したものです。ASVSではWebアプリケーションが取り扱う情報によって、準拠すべきセキュリティ要件がレベル分けされているため、どこまでセキュリティ対策をしたらいいかわからない組織にとっては取捨選択の参考になるのではないでしょうか。