Beingにっき

■ JPCERT/CC 脆弱性情報ハンドリング 説明会が開催

9/17 の OSC2005 Tokyo/Fall のライトニングトークの中のプレゼンの一つで紹介されていた「JPCERT/CC 脆弱性情報ハンドリング 説明会」が 9/17 に開催された。

まず、JPCERT/CC の佐藤裕輔氏が OSC2005 で概要を紹介したことと /.J にこの説明会が週末タレこまれたことを紹介。続いて、JPCERT/CC 椎木貴斉氏による「ソフトウェア脆弱性情報流通体制への取り組み」の発表があり、

• JPCERT/CC の概要
• 脆弱性の情報ハンドリングとは
• 脆弱性情流通の枠組み
• 製品開発者のメリット
• ユーザーのメリット
• 登録ベンダー(107件)
• 脆弱性情報公表サイト(JVN)
• 公開案件と取り扱い実績
• 経験からの課題

などが述べられた。

ここで、JPCERT/CC は、製品開発者との連絡やスケジュールなどのコーディネイトを行う。また、公開する時には、「公開日一致の原則」を適用する。これは、脆弱性と共にパッチなどの対応策も同時に公開する仕組み。更に、扱う脆弱性は

• 個別に関わるソフトウェア
• 広範囲・プロトコル

など。

続いて、JPCERT/CC 戸田洋三氏による「ハンドリングフローのご紹介 -開発者の視点から-」の発表があり、

• コーディネーションの概要図
• 特定製品の案件
• 複数製品の案件

などが説明された。

まず、開発者の視点から JPCERT/CC からのメイルから登録、調査、対策、公表までの一連のフローの説明。

続いて、同じ戸田氏による「開発者に求められる対応 -調整機関の視点から-」の発表があり、

• 届出者(必ずしも発見者とは限らない)
• ソフトウェア開発者
• IPA
• JPCERT/CC
• ソフトウェアユーザー

などの関係と今までの既存事例の紹介がされた。

上手くいった例は、当たり前だがソフト開発者と連絡が上手く取れた場合、上手くいかなかった例は、連絡がつかなったのは論外だが、複数開発者のものが関わるものだった。

続いて、JPCERT/CC 宮崎清隆氏による「JP Vendor Status Notes(JVN)」の紹介とコンテンツの内容などの説明がされた。

JVN は、2005年9月9日にスタートし、RSS 1.0 ベースを拡張した JVNRSS 形式で配信しているのが特徴。利用するには、"jvnbox", "jvnticker", jvnchanger", "jvnpanel" などの方法がある。JVNRSS の独自仕様にしているのは、JVN で配信している形式と同じ形式で配信が可能だからだそうだ。ちなみに、JVNRSS は、ターボリナックスと日立が既に採用している。

最後に JPCERT/CC 杉山悦子氏による「パブリックモニタリングへの取り組みについて」の発表があり、ML や Web などで公開されている脆弱性情報を随時監視し、収集する活動であることやそのメリット/デメリットなどが説明された。

各発表及び質疑応答ランダムに上げると

• 最初の案件に署名が付いていない(今後は付くらしい)
• Web アプリの脆弱性は扱わない
• 公開後の扱いが決まっていない
• Linux などのディストリビュータは、開発者で登録して欲しい
• ユーザー(SIer)だと公開情報はもらえない
• 情報公開(発見者への謝辞など)チェックボックスの扱いが分かり辛い
• 5つのJVN のベンダーステータスが分かり辛い
• OSS の人の登録(連絡先など)の仕組み
• 海外との連携(CVE 番号など)
• ユーザー会を取組む仕組み
• 英文の対応

などが上がっていた。

また、予定の2時間を越え3時間近い説明会であったが、それでも質問の時間のセミナーが別途欲しいなどのリクエストも出された。今回は、Linux のデバドラの開発者、ディストリビュータ、脆弱性発見者など OSS に関わる数十名の方が参加していた。

まだまだ、問題や改良点はあると思うがこのような説明会で、それぞれの立場の人の意見を聞ける良い機会だったのではないだろうか。