はじめに

研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。

• はじめに
• 制度・ガイドライン
  • セキュリティ設定共通化手順 (SCAP)
  • 共通脆弱性識別子 (CVE)
  • 共通脆弱性評価システム (CVSS)
  • ISMS適合性評価制度
  • 政府情報システムのためのセキュリティ評価制度 (ISMAP)
  • CSIRT Services Framework
  • PSIRT Services Framework
  • CIS Controls
  • TRAFFIC LIGHT PROTOCOL (TLP)
• サービス
  • NATIONAL VULNERABILITY DATABASE (NVD)
  • Japan Vulnerability Notes (JVN)
  • MITRE ATT&CK
  • CAPEC
  • VirusTotal
  • Shodan
• 番外編
  • 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き
• おわりに
• エンジニア募集

制度・ガイドライン

セキュリティ設定共通化手順 (SCAP) [公式サイト]

通称は「SCAP (エスキャップ)」です。サイバーセキュリティ対策の自動化と標準化を目的として、アメリカの NIST により開発されています。以下の 6 つの標準仕様により構成されています。

• CVE (脆弱性の識別)
• CCE (セキュリティ設定の識別)
• CPE (製品の識別)
• CVSS (脆弱性の深刻度の評価)
• XCCDF (セキュリティ設定のチェックリストの記述形式)
• OVAL (セキュリティの設定状況の検査)

本記事では、この中でも特によく使われる CVE と CVSS のみ取り上げていますが、他の 4 つも重要な仕様ですので、名前だけでも押さえておきましょう。SCAP についての詳しい情報は、IPA の「セキュリティ設定共通化手順SCAP概説」を参照ください。

共通脆弱性識別子 (CVE) [公式サイト]

通称は「CVE (シーブイイー)」です。SCAP の標準仕様の 1 つ。アメリカの安全保障を推進する非営利団体 MITREが採番している識別子です。様々な製品で発見される脆弱性に一意の識別番号を付与することを目的としています。CVE 識別番号によって、様々な組織が公開する脆弱性の情報がどの脆弱性についてなのかを特定できるようになります。例えば先日、基礎技術研究部部長の中川が発見した Chatwork の脆弱性にも、CVE-2023-32546 という識別番号が割り当てられました。 CVE についての詳しい情報は、IPA の「共通脆弱性識別子CVE概説」を参照ください。

共通脆弱性評価システム (CVSS) [公式サイト]

通称は「CVSS (シーブイエスエス)」です。SCAP の標準仕様の 1 つ。脆弱性の深刻度を定量的に評価する取り組みで、FIRST(Forum of Incident Response and Security Teams: 各国の CSIRT が加盟する世界最大の CSIRT 団体) が管理しています。執筆時点での最新バージョンは 3.1 ですが、2023 年 9 月には 4.0 が発行される予定です。 ネットワーク経由での攻撃が可能か、攻撃する際に必要な条件は何か、などの複数の項目について該当するものを選び、スコアを算出します。最高スコア (最も深刻度が高い) は 10 で、7.0 ～ 8.9 は深刻度が「重要」、9.0 以上は「緊急」と設定されています。

例えば、2022 年に発見された Spring4Shell と呼ばれる Java のフレームワーク Spring Framework の脆弱性 (CVE-2022-22965) の基本スコアは 9.8 です。このスコアは、評価者によって若干異なる場合がありますが、世界的には後述する NVD が算出したものが一般的で、国内では IPA や JPCERT/CC が算出したものもよく使われています。ペネトレーションテストなどで新たな脆弱性を発見した場合には、スコアを算出してお客様に報告することもあります。 CVSS についての詳しい情報は、IPA の「共通脆弱性評価システムCVSS v3概説」を参照ください。

ISMS適合性評価制度 [公式サイト]

「ISMS (アイエスエムエス)」は「情報セキュリティマネジメントシステム」のことで、組織が持つ情報資産について、機密性・完全性・可用性を維持し、リスクを適切に管理するための仕組みのことです。認証基準として、国際規格の ISO/IEC 27001 (国内規格 JIS Q 27001) が発行されています。この基準を満たしていると認証機関が認めると、「ISMS 認証」を取得できます。長らく ISO/IEC 27001:2013 (JIS Q 27001:2014) が使われていましたが、2022 年 10 月に、ISO/IEC 27001:2022 として改訂され発行されました。JIS Q 27001 も、2023 年に改訂される予定です。ISMS 認証の基準も、ISO/IEC 27001:2022 に移行します。

政府情報システムのためのセキュリティ評価制度 (ISMAP) [公式サイト]

通称は「ISMAP (イスマップ)」です。政府がクラウドサービスを調達する際に求めるセキュリティ基準をまとめ、その基準を満たすクラウドサービスをあらかじめ評価・登録し、政府調達を円滑にすることを目的とした制度です。評価基準は、JIS Q(ISO/IEC) 27001、27002 (情報セキュリティに関する規格) と、JIS Q(ISO/IEC) 27017 (クラウドサービスの情報セキュリティに関する規格)、および NIST が発行している SP800-53 (情報システムと組織に関するセキュリティとプライバシーの管理策) などから構成されています。 また、セキュリティ上のリスクの少ない SaaS を対象とした、ISMAP for Low-Impact Use、通称「ISMAP-LIU (イスマップエルアイユー)」という制度もあります。

CSIRT Services Framework [公式サイト]

FIRST が公開している CSIRT (シーサート) の構築や運用のガイドラインで、NCA が日本語版を公開しています。CSIRT が何をする組織か、目次を見るとよくわかります。

PSIRT Services Framework [公式サイト]

PSIRT (ピーサート) とは、組織が開発・販売している製品の脆弱性や、製品に起因するインシデントの対応をするための組織です。PSIRT Services Framework は、FIRST が公開している PSIRT の構築や運用のガイドラインです。JPCERT/CC が日本語版を公開しています。ＦＦＲＩセキュリティにも PSIRT があり、インシデント対応のほか、公開サイトのセキュリティ対策基準の策定や脆弱性診断などを行っています。

CIS Controls [公式サイト]

読み方は「シーアイエスコントロール」です。発行しているのは米国の非営利団体「Center for Internet Security (CIS)」で、がサイバーセキュリティ対策として最低限やっておくべき対策がまとめられています。日本語版も公開されており、公式サイトからダウンロード可能です。

TRAFFIC LIGHT PROTOCOL (TLP) [公式サイト]

通称は「TLP (ティーエルピー)」です。インシデント対応チーム間の情報共有を促進するための、機微な情報の取り扱い基準です。情報を発信する際に、共有可能な範囲を TLP:RED、TLP:AMBER、TLP:AMBER+STRICT、TLP:GREEN、TLP:CLEAR の 4 つの色を伴う標示で示すこととしています。例えば、誰にでも公開可能な文書には文書の右上や右下に「TLP:CLEAR」と黒字に白抜きの文字で標示する、誰にも共有してはいけない文書には「TLP:RED」と黒地に赤字の文字で標示する、といった具合です。なお、記事執筆時点での最新バージョンである 2.0 は 2022 年 8 月に公開されたものです。それ以前の文書はバージョン 1.0 の標示になっている場合があり、そちらは誰でも公開可能な文書には「TLP:WHITE」が標示されています。前述の CSIRT Services Framework や PSIRT Services Framework にも標示があります。ガイダンスの日本語版が JPCERT/CC から公開されています。

サービス

NATIONAL VULNERABILITY DATABASE (NVD) [公式サイト]

通称は「NVD (エヌブイディー)」です。NIST が管理する脆弱性データベースで、前述の SCAP の各仕様に則った情報が掲載されています。 例えば、前述の Log4Shell(CVE-2021-44228) についての NVD のページを見ると、CVSS のスコアや、CPE が掲載されています。脆弱性についての解析レポートや、修正パッチの情報なども掲載されますが、全ての情報が掲載されるには若干時間がかかります。

Japan Vulnerability Notes (JVN) [公式サイト]

通称は「JVN (ジェイブイエヌ)」です。日本で使用されているソフトウェアなどの脆弱性関連情報のポータルサイトで、IPA と JPCERT/CC が共同で運営しています。各脆弱性について、想定される影響や対策方法が日本語で端的に掲載され、関連するアドバイザリや国内のベンダーごとの対応状況などがまとめられており、日本語話者にはとてもありがたいサイトです。独自の識別番号が付与されていますが、CVE 識別番号が存在する場合は、それも掲載されています。

例えば、前述の Log4Shell(CVE-2021-44228) についての JVN のページを見ると、アップデート以外の回避策や、国内で影響を受ける製品のベンダーの告知ページもまとまっています。即時性があり、深刻な脆弱性が発見された場合は、JPCERT/CC の注意喚起、IPA の重要なセキュリティ情報とともに、まずチェックすべきサイトです。

MITRE ATT&CK [公式サイト]

読み方は「マイターアタック」です。綴りにも注意。CVE を管理している MITRE 社による、攻撃者の手口 (TTPs:Tactics, Techniques and Procedures) のナレッジベースです。階層構造になっており、 Priviledge Escalation (権限昇格) や Defence Evasion (検知回避) といった Tactics (戦術) とそれを実現するための Tecniques (技術) で構成されています。Techniques は、さらに Sub-Techniques に分けられているものもあります。それぞれが、Enterprise (企業)、Mobile (モバイル)、ICS (産業用制御システム) の 3 つの攻撃対象ごとにまとめられています。

例えば、Tactics の「Defence Evasion」を実現する技術として、デバッガ上で稼働しているか検知する「Debugger Evasion」や生成物を隠す「Hide Artifacts」などがあります。さらに「Hide Artifacts」には、隠しファイルやディレクトリを使う「Hidden Files and Directories」やユーザーを非表示にする「Hidden Users」という Sub-Technique がある、といった具合です。

なお、MITRE D3fend という、防御策についてのナレッジベースもあります。こちらも Tactics と Techniques という階層構造になっており、各 Tactic や Technique によって、ATT&CK のどの Technique を防御し得るかがわかるようになっています。

また、最近何かと話題の機械学習に関する脅威をまとめた、「MITRE ATLAS」というのもあります。ちなみに、「機械学習 (Machine Learning)」は ML と略されることが多いようです。もはや ML はメーリングリストではないんですね。

CAPEC [公式サイト]

読み方は「カペック」です。アプリケーションを攻撃する手法の網羅的なリストです。MITRE ATT&CK がネットワークへの侵入に焦点を当てているのに対し、こちらは個別のソフトウェアやハードウェアなどへの攻撃に焦点を当ててまとめられています。 例えば「Software」への攻撃手法の 1 つとして「Fuzzing」があり、「Fuzzing」のページではファジングを実現させるための手法が解説されています。

VirusTotal [公式サイト]

読み方は「ウイルストータル」です。文章では、「VT (ブイティ)」と略すこともあります。ファイルをアップロードしたり、ウェブサイトの URL を入力したりすると、それがマルウェアを含むかどうかを、様々なウイルス対策ソフトやスキャンサービス・脅威データベースなどで検査をして確認してくれます。アップロードされたファイルの検査結果は蓄積されており、ハッシュ値での検索も可能です。 例えば、Emotet として検出されるファイルのページを見ると、各ウイルス対策ソフトの検知名や、ハッシュ値やインポートする DLL ファイルのリストなどが確認できます。 また、有償の VT Intelligence に登録すると、検体をダウンロードできるようになります。業務では調査などで得たマルウェアと思われるファイルのハッシュ値を検索し、検体を入手するのによく使っています。

Shodan [公式サイト]

読み方は「ショーダン」です。インターネットに接続しているあらゆる機器を検索可能で、各機器のページには、ホスト名や国といった情報のほか、オープンしているポートやバナー情報など、取得できたものについて掲載されています。同じようなサービスで、Censys というものもあります。

番外編

機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き [リンク]

経済産業省が公開している、機器の検証サービス事業者や検証依頼者が実施すべき事項等について整理した手引きです。この手引きのうち、「【別冊１】脅威分析及びセキュリティ検証の詳細解説書」は、ＦＦＲＩセキュリティが作成に携わりました。142 ページにわたり、実際の回路基盤の写真やツールの実行結果などを織り交ぜながら、ファームウェア解析、バイナリ解析、ファジングなどの IoT 機器のペネレーションテストの方法を解説しています。ぜひご一読ください。

おわりに

厳選したつもりでしたが、思いのほかたくさんありました。なお、MITRE ATT&CK については、ここに書いた概要だけでなく、Enterprise tactics の名前は知っておくとよいです。マルウェアや不正機能を語るとき当たり前に出てくる単語の集大成です。「あのマルウェアの Lateral Movement のやり方が新しくってさー」というように会話に出てきます。

エンジニア募集

ＦＦＲＩセキュリティではサイバーセキュリティに関する興味関心を持つエンジニアを募集しています。 採用に関しては採用ページをご覧ください。