サイト内検索
トップページ
情報提供
研究・調査レポート
最終更新: 2009-11-04- ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」
- Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書
- IT セキュリティ予防接種調査報告書
- USB メモリ経由の感染機能を持つマルウエア調査報告書
- 標的型攻撃対策手法に関する調査報告書
- ソースコード解析ツールを活用した CERT セキュアコーディングルールの有効性評価報告書
- Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム)
- ボットネット研究資料
- 標的型攻撃についての調査
- 組織内 CSIRT 構築支援マテリアル
- コンピューターセキュリティインシデント対応チーム (CSIRT) のためのハンドブック
- ICT (Information and Communication Technology) 業界にみる高信頼性組織 (HRO) の現状と課題
<注意>
※「デジタル署名付」と表示されている PDF 文書は GlobalSign CA for Adobe より発行されたデジタル証明書により真正性が証明されております。
Adobe Reader バージョン 6.0 以降をご使用いただくことで、PDF 文書の真正性を検証することができます。
Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書
Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム、略称:VRDA、読み:ヴァーダ) は、組織が、脆弱性情報に関し、効率よく、一貫した対応ができるように支援すべく、JPCERT/CC と CERT/CC が共同でデザインした脆弱性対応コンセプトフレームワークです。
VRDA コンセプトを適用することにより、脆弱性情報と対応履歴のデータベースを基に、新しい脆弱性に対して、その組織にとって最適である可能性が高い対応を導き出すことが可能となります。
本報告書は、VRDA コンセプトを実装したシステムである KENGINE (試行運用中) を用い、各組織において実施すべき脆弱性対応を、どの程度正しく提示することができるかについて、米 CERT/CC 含む 3つの異なる組織の協力を得て評価した結果をまとめたものです。
異なる脆弱性情報、ユーザ組織および意思決定モデルの間で提示内容の精度を評価した結果、VRDA コンセプトに基づき提示される対応内容は、脆弱性対応に関する意思決定を支援できる正確さを示すことが確認されました。
なお、VRDA コンセプトおよび KENGINE についてのより詳しい情報につきましては、VRDA に関する調査/研究資料をご覧ください。
| 日本語版 | |||
|---|---|---|---|
| 公開日 | タイトル | PGP 署名 | |
| 2009-10-29 | Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書 日本語版 | 1.19MB デジタル 署名付 |
PGP 署名 |
| 英語版 | |||
|---|---|---|---|
| 公開日 | タイトル | PGP 署名 | |
| 2009-08-31 | Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書 英語版 | 1.31MB | PGP 署名 |
IT セキュリティ予防接種調査報告書
JPCERT/CC では、2006年度および 2007年度に、標的型攻撃についての調査を行いました。それらの調査から、「IT セキュリティ予防接種」は、比較的小規模な企業・組織にとって、電子メールに起因する情報セキュリティ上の脅威に対する適切な対応方法のみならず、情報セキュリティ上の脅威情報を組織内で共有する必要性に関する意識の向上を図る上でも、有効な教育手法であることがわかりました。
2008年度は、2007年度の基本的な予防接種実施手順を踏襲した上で、より幅広い業種と企業規模を対象に、2600人に予防接種を実施しました。
その結果から、企業の組織形態や従業員の属性に応じた IT セキュリティ予防接種の効果を高める実施方法を考察し、報告書にとりまとめました。
なお、本調査については、作業の一部を株式会社ブロードバンドセキュリティに委託して実施しました。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2009-06-19 | IT セキュリティ予防接種実施調査報告書 概要 | 250KB | PGP 署名 |
| 2009-06-19 | IT セキュリティ予防接種実施調査報告書 | 4.33MB | PGP 署名 |
USB メモリ経由の感染機能を持つマルウエア調査報告書
近年、USB メモリをはじめとするリムーバブルメディアを経由して感染を広げるマルウエアが観測されるようになりました。
2008年末頃から世界的な話題になった Downad (あるいは Conficker, Kido) と呼ばれるマルウエアも、変化の過程でリムーバブルメディアを経由して感染する手段を持ち、さらに感染を広げてきたと言われています。
このようなリムーバブルメディアを経由して感染するマルウエアに対して効果的な対策を実施していただけるように、マルウエアの特徴や被害実態を事例や分析結果の紹介をまじえて調査報告書にまとめました。
ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」
ソフトウエアのデプロイメント後に脆弱性を修正しなければならなくなるリスクやコストは、ソフトウエア開発者にとっても、エンドユーザにとっても、大きな負担となってしまうため、ソフトウエア製品出荷前の脆弱性対策が重要です。昨今、セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
JPCERTコーディネーションセンターは、CERT/CCと共同で、ソフトウエア設計工程における脆弱性低減策の一つとして、一連の「セキュアデザインパターン」を定義しました。セキュアデザインパターンとは、設計工程における脆弱性低減策の一つであり、同工程において脆弱性に繋がる要因の数と脆弱性の被害を最小限にするために準備された再利用可能な設計のひな形です。セキュアデザインパターンは、認証や認可を始めとした特定のセキュリティ関連の機能要件を満たすためのものではなく、ソフトウエアあるいはシステムが提供する機能のセキュリティ品質 (非機能要件としてのセキュリティ) の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類 (アプリケーションドメイン) を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリスクの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
本技術報告書は、定義されたセキュアデザインパターンをまとめたものであり、ソフトウエア製品の開発者が、設計工程において、より安全なソフトウエア製品を提供するための対策を検討される場合の参考として下さることを期待して公開するものです。
更新情報 (2009-11-04):
英語版報告書に新たなセキュアデザインパターンを追加しました。追加されたパターンは次の6つです。
設計レベルのパターン
- Secure Factory
- Secure Strategy Factory
- Secure Builder Factory
- Secure Chain of Responsibility
実装レベルのパターン
- Secure Logger
- Clear Sensitive Information
日本語版報告書についても同様の更新を予定しています。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2009-11-04 | ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」(2009年10月更新:英語版) | 1.47MB デジタル 署名付 |
PGP 署名 |
| 2009-06-30 | ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」(日本語版) | 1.40MB | PGP 署名 |
標的型攻撃対策手法に関する調査報告書
高まる標的型攻撃に対して企業には従来とは違うセキュリティ対策が求められています。
JPCERT/CC では「予防接種」という疑似標的型攻撃を組織に対して行う手法で社員等のセキュリティ意識を向上し、教育効果を引き上げるというアプローチに着目しました。
昨年度 5 社延べ 100 人以上に対して行った予防接種の結果から、企業における予防接種のあり方、そして標的型攻撃対策のあり方についてまとめました。
ソースコード解析ツールを活用したCERTセキュアコーディングルールの有効性評価報告書
市場に出荷された多くのソフトウエア製品に発見される脆弱性は、プログラミングエラーによって引き起こされている。製品出荷後に発見される脆弱性を修正するには、場合によっては、ソフトウエアのデザイン (設計) の見直し、大規模な再コーディング、再テストが必要になる上、修正プログラムの開発・周知および配付のためのコストがかかることとなる。さらに、利用者側においても、修正プログラムの適用のためのリスクと、コストがかかることになる。
このような問題を回避するためには、製品開発工程において、脆弱性の発生につながるような欠陥を作りこまないこと、仮に作りこまれたとしても出荷前の検証等の段階で発見して対応が行われること等が有効な対策となり得ると考えられる。そのための対策のひとつとして、「C/C++ セキュアコーディングスタンダード」というルールセットが開発されている。
CERT/CC と JPCERTコーデイネーションセンターは、共同で、ソフトウエアの品質確認において、このルールセットの一部を実装した「ソースコード解析ツール」を実験的に利用することにより、「C/C++ セキュアコーディングスタンダード」の有効性と、このルールセットへの適合状況を機械的に効率よく検出することが可能であるか (実用性) を評価するプロジェクトを実施した。
本技術報告書は、その結果をまとめたものであり、ソフトウエア製品の開発や出荷前の検証 (品質確認) を行われる方々が、それぞれの作業工程において、より安全なソフトウエア製品を提供するための対策を検討される場合の参考として下さることを期待して公開するものである。
Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム)
Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム、略称:VRDA、 読み:ヴァーダ) は、組織が効率よく、また一貫した脆弱性情報の対応ができるように支援すべく、JPCERT/CC と CERT/CC が共同でデザインしたコンセプトです。
本論文は、VRDA コンセプトを構成する 3つの要素について解説したものです。
(1) 脆弱性関連情報のデータ交換フォーマット
(2) 脆弱性情報に対する評価基準や対策ルールといった、その企業や組織特有の思考ロジックを定義した対応意志決定モデル
(3) 意思決定モデルの構築手法
| 日本語版 | |||
|---|---|---|---|
| 公開日 | タイトル | PGP 署名 | |
| 2008-06-06 | 概要 | 1.27MB | PGP 署名 |
| 2008-06-06 | 論文 : Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) | 279KB | PGP 署名 |
| 英語版 | |||
|---|---|---|---|
| 公開日 | タイトル | PGP 署名 | |
| 2008-04-18 | 概要 | 1.25MB | PGP 署名 |
| 2008-01-10 | 論文 : Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) | 292KB | PGP 署名 |
また、脆弱性対応の意志決定支援システムである KENGINE®はこの VRDA コンセプトを実装して開発されたツールです。
ボットネット研究資料
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-21 | マルウェアの最近の傾向とウェブアプリケーションの脆弱性を狙うボットの実態 | 624KB | PGP 署名 |
| マルウェアの最近の傾向とウェブアプリケーションの脆弱性を狙うボットの実態 2005年から 2006年に出現した単機能化されたマルウェアの特徴および傾向を調査し、作成された背景や目的についての考察と、ボットの実態の継続調査として Web アプリケーションの脆弱性を利用するボットの調査を行いまとめました。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2007-06-21 | P2P 型ボット分析レポート | 252KB | PGP 署名 |
| 命令の受信に P2P 型の通信を使用するボットや、既存の P2P ファイル共有ネットワークと関連するボット・ボットネット(以下、P2P 型ボット)の実態や、その特徴などについて調査を行い、それらが今後さらなる脅威となるかを考察しまとめました。 |
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2006-07-20 | ボットネット概要 | 696KB | PGP 署名 |
| この研究資料は、JPCERT/CC とインターネットセキュリティシステムズ株式会社、トレンドマイクロ株式会社、株式会社ラックの 3社が協力し作成しました。 |
標的型攻撃についての調査
近年急増していると言われる標的型攻撃 (Targeted Attack) について、JPCERT/CC が行った国内企業へのアンケートから標的型攻撃に関する実情の紹介およびそれら攻撃に対して企業・組織が取り得る対策についてまとめたものです。
| 公開日 | タイトル | PGP 署名 | |
|---|---|---|---|
| 2008-09-17 改定 |
標的型攻撃についての調査 | 468KB | PGP 署名 |
| この研究資料は、JPCERT/CC とインターネットセキュリティシステムズ株式会社、トレンドマイクロ株式会社、株式会社ラックの 3 社が協力し作成しました。 |
組織内 CSIRT 構築支援マテリアル
このマテリアルは、組織的なインシデント対応体制である「組織内 CSIRT」の構築を支援する目的で作成したものです。「認知」で組織内 CSIRT の必要性を把握し、「理解」で全体的なイメージをつかみ、「実践」で実際に構築活動を行なえるように 3 つのカテゴリで構成しました。
* CSIRT: Computer Security Incident Response Team の略
コンピューターセキュリティインシデント対応チーム (CSIRT) のためのハンドブック
このハンドブックは、特に活動経験の長い CSIRT が、CSIRT の構築、管理、運用に役立つ参照文書となるよう、CSIRT に共通する課題と思われる事項をまとめ、課題に対する考え方をその運営ノウハウから具体的な事例を交えてまとめました。
| 概要 | |||
|---|---|---|---|
| 現在、コンピュータセキュリティインシデントの対応組織は、設立を宣言している組織だけでも世界中に200チームに上るなか、現在においてもこれから新しいチームを作ろうとする組織があり、対応しようとしている問題に関する支持と理解を得るという同じ困難に直面してきた。「コンピューターセキュリティインシデント対応チーム (CSIRT) のためのハンドブック」は特に活動経験の長いCSIRTが、CSIRTの構築、管理、運用に役立つ参照文書となるようにできるだけどのようなCSIRTであっても共通の課題と思われる事項をまとめ、課題に対する考え方をその運用ノウハウから具体的な事例を交えてまとめたものである。この文書は2003年に公開されたものであるため、想定している脅威や個別の対応策にはやや古いと捉えられるかもしれないが、背景にある概念は現在でも、またどのような形態のCSIRT組織でも同じように役立つ。 本ハンドブックが日本国内のインシデント対応組織とこれから作ろうとする組織へのガイダンスとなることを期待する。 |
|||
| 公開日 | タイトル | PGP 署名 | |
| 2007-06-14 | コンピューターセキュリティインシデント対応チーム (CSIRT) のためのハンドブック | 5MB | PGP 署名 |
ICT (Information and Communication Technology) 業界にみる高信頼性組織 (HRO) の現状と課題
- 2010/02/05
- 重要インフラ情報セキュリティフォーラム2010講演資料を公開
- 2010/01/26
- Yahoo! JAPAN、フィッシング対策協議会およびJPCERT/CCと連携
- 2010/01/21
- ソフトウエア等の脆弱性関連情報に関する届出状況 [ 2009年第4四半期 (10月 ~ 12月)] を公開しました
- 2010/01/12
- JPCERT/CC インシデントハンドリング業務報告 [ 2009年10月1日~2009年12月31日 ]を公開しました
