[cb22] 「協調��れた脆弱性開示の現在と未来」国際的なパネルディスカッション（2）by Allan Friedman

TLP:WHITE（ホワイト
January 3, 2023
C I S A | C Y B E R S E C U R I T Y A N D I N F R A S T R U C T U R E S E C U R I T Y A G E N C Y
協調された
脆弱性の
開示
米国における進捗状況
1
アラン・フリードマン（PhD

January 3, 2023
 米国の政策はCVDと研究者の重要な役割を受け入れており、障壁を低くしようとし
ている。
 既存の法律が研究者に有利になるように解釈される
 米国政府の政策により、民間の情報公開が促進される
 「CVE Numbering Authority(CVE(共通脆弱性識別子) 番号付与機関)」プログラム（
CNA）は、組織が世界中の研究者と協力することを支援するものです
いっしょくたにする
2

January 3, 2023
 コンピュータ不正行為・濫用防止法
 意図的に「無権限で」または権限を超えてコンピュータにアクセスすることを禁止してい
る。
 最近では、主にインサイダーによるデータの不正利用に利用されている
 デジタルミレニアムコピーライト法
 ソフトウェアへのアクセスを防ぐために「迂回防止」規定を使用（1201条）
研究者に影響を与える既存の法律
3

January 3, 2023
朗報です。
4

January 3, 2023
 司法省の検察官のためのガイダンス（2022年）
 善意のセキュリティ・リサーチは起訴されるべきではないことを指示する。
 善意：セキュリティ上の欠陥や脆弱性を善意でテスト、調査、修正する目的でのみコンピ
ュータにアクセスすることを意味し、そのような活動はいかなる損害も回避するように設
計された方法で実施される場合。
 DMCAの "免除 "は継続的に拡大されている
 セキュリティ研究のための明示的なカーブアウト
 医療機器
 陸上車両（自動車）
 オープンソースソフトウェア
研究者保護に関する進捗状況
5

January 3, 2023
C I S A | C Y B E R S E C U R I T Y A N D I N F R A S T R U C T U R E S E C U R I T Y A G E N C Y
CVE番号付与機関(CNA)
6

January 3, 2023
7
 CNAとは？
o CVEプログラム
o 脆弱性情報公開におけるCNAの役割
 誰がCNAになれるのか？
o 組織の種類
o 国別パートナー
o 構造
 CNAになるには？
o 必要条件
o プロセス
 なぜCNAになるのか？
CVEプログラム
CNAアジェンダ

January 3, 2023
CNAとは？- CVEプログラム
8
CVE Numbering Authorities（CNA）。
合意した範囲内の製品に影響を及ぼす脆弱性に CVE ID を割り当て、入力する権限を持つ組織
CVE（Common Vulnerabilities and Exposures）プログラム。
 CVE-IDとは、一般に知られているサイバーセキュリティの脆弱性に対して、CVE Numbering Authorities（CNA）
が付与した一意の共通識別子です。
 CVEプログラムは、MITREが管理し、CISAが資金を提供し、コミュニティ（ベンダー、エンドユーザー、研究
者など）が脆弱性を発見し登録することに依存しています。
 CVEプログラムの方向性を決定するCVE Boardは、世界各国の産学官の代表者で構成されています。
 CVEワーキンググループは、プログラムのポリシーを策定し（CVEボードが承認）、コミュニティに
公開されています。

January 3, 2023
CNAとは？- CNAの役割
9
脆弱性発見
脆弱性コーデ
ィネート
CVE-IDの割り当
て
脆弱性の開示
CNAが脆弱
性を認識す
る
脆弱性関連
ステークホ
ルダーとの
調整
CNAによる
CVE IDの割
り当て
脆弱性と
CVEレコー
ドを公開

January 3, 2023
CNAとは？- 組織の種類
10
CNAは、世界中のさまざまな業種のどのような組織でもなることができ、最低限の条件があり、金銭的な手数料や契約は
必要ありません。
CNA：224｜CNA-LR：2｜ルート：3｜トップレベル・ルート：2
 ベンダーとプロジェクト
o 現在198名
o 例：マイクロソフト、シーメンス
 国内および業界のCERT
o 現在、11名が参加
o 例：スペイン、日本
 バグバウンティプログラム
o 例：ゼロデイ・イニシアチブ、HackerOneなど
 ホスティングサービス
o 例：ピンアイデンティティ株式会社、キャリアグロ
ーバル株式会社
 脆弱性研究者
o 現在43名が参加
o 例：AppCheck Ltd.、ASRG(Automotive Security
Research Group)

January 3, 2023
CNAとは？- 国別パートナー
11
•オーストラリア：2
•オーストリア：1
•ベルギー：1
•カナダ：5
•チリ：1
•中国：10
•コロンビア：1
•チェコ共和国：1
•デンマーク：1
•エストニア：1
•フィンランド：3
•フランス：3
•ドイツ：10
•インド：4
•アイルランド：1
•イスラエル：4
•日本：9
•ラトビア：1名
•オラン��：5
•ニュージーランド：1
•ノルウェー：1
•ルーマニア：1
•ロシア：2
•シンガポール：1
•スロバキア共和国：1
•韓国：4
•スペイン：4
•スウェーデン：2
•スイス：6
•台湾：7
•トルコ：3
•イギリス：6
•米国：122
•ベトナム：1

January 3, 2023
12
CNAとは？- 構造

January 3, 2023
必要条件
1. 脆弱性公開のポリシーを持つ。
o https://vuls.cert.org/confluence/display/CVD
2. 新しい脆弱性の開示のための公開ソースを持つ。
3. CVEプログラム利用規約に同意する。
CNAになるには？- 必要条件
13

January 3, 2023
CNAになるには？- プロセス
14
プロセス

January 3, 2023
なぜCNAになるのか？
15
シー・エヌ・
エー
制御
- CVE公開
セキュリティ
- パッチ開発
ステークホル
ダー
コンフィデンス
- 成熟した脆弱性対策
コミュニケーショ
ン
- お客様に対する予防
コミュニティ
責任
- サイバーエコシステ
ムの強化
参加方法
- 脆弱性管理

January 3, 2023
誤解されていること
16
1. 脆弱性を報告しすぎるのは良くない。
2. CNAになるには、かなりのオーバー��ッドが必要です。

January 3, 2023
17

[cb22] 「協調��れた脆弱性開示の現在と未来」国際的なパネルディスカッション（2）by Allan Friedman

Related slideshows

Recommended for you

Recommended for you

Recommended for you

Recommended for you

More Related Content

More from CODE BLUE

More from CODE BLUE (20)

[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション（2）by Allan Friedman

[cb22] 「協調���れた脆弱性開示の現在と未来」国際的なパネルディスカッション（2）by Allan Friedman

Related slideshows

Recommended for you

Recommended for you

Recommended for you

Recommended for you

More Related Content

More from CODE BLUE

More from CODE BLUE (20)

[cb22] 「協調された脆弱性開示の現在と未来」国際的なパネルディスカッション（2）by Allan Friedman

[cb22] 「協調��れた脆弱性開示の現在と未来」国際的なパネルディスカッション（2）by Allan Friedman