Loading…
This event has ended. View the official site or create your own event → Check it out
This event has ended. Create your own
Join us at OWASP AppSec APAC 2014 !!
View analytic
Thursday, March 20 • 9:30am - 10:20am
セキュリティライフサイクル管理 / Management for Security Life Cycle

Sign up or log in to save this to your schedule and see who's attending!

サイボウズでは発見された脆弱性情報を適切に取り扱って改修し、お客様のリスクを軽減することを目的として SCAP を参考に、脆弱性情報ハンドリングポリシーを策定しました。
汎用的な脆弱性対応プロセスを1組織で導入した効果と、運用上の工夫や、今後の課題を紹介いたします。"    "サイボウズでは脆弱性の深刻度を、2011 年まで自社基準で測定していました。
2012 年末に社内で汎用的でオープンな脆弱性のリスク評価結果に基づいて、脆弱性を取り扱うべきではないかと議論になり、調査を進めました。

調査結果を元に 2013 年からは SCAP を参考に、CVSS に基づいた脆弱性情報の評価と、CVE 番号の関連付けを行い、ISO29147 と ISO30111 に沿った脆弱性情報ハンドリングポリシーを策定いたしました。
新しいポリシーを策定したことで、以下のような効果が上がりました。
- 均一な脆弱性評価と改修時の優先度設定
- プロジェクトを横断した脆弱性情報の共有
- 円滑な脆弱性情報の公開
課題となっている点は以下の通りです。
- CVSS で評価できない攻撃技法の存在と対応方針
- CVE 採番機関(JPCERT/CC)との連携
今後もこれらの課題の改善に取り組み、責任ある情報開示に取り組んでまいります。

Cybozu, in order to minimize risk to clients, handles and repairs vulnerabilities in accordance with a vulnerability information handling policy which takes SCAP into consideration.  This session will introduce the effectiveness of implementing a general vulnerability response process in a single organization, creative schemes implemented in operations and issues faced moving forward.

Until 2011 Cybozu measured the seriousness of vulnerabilities based on independent company standards and criteria.  At the end of 2012, after internal discussions, investigations were conducted as to the necessity of handling vulnerabilities based on general and open evaluations of vulnerability risks.

Starting in 2013, based on the results of the aforementioned investigation, vulnerability handling policies in line with ISO29147 and ISO30111 were implemented referencing SCAP, evaluating vulnerabilities based on CVSS and assigning CVE identifiers.
The following results were seen after implementing the new policies.
・Uniform vulnerability evaluation and priority during fixes
・Sharing of vulnerability information transcending projects
・Smooth disclosure of vulnerability information
At the same time, the following issues were encountered.
・Existence of attack techniques not able to be evaluated with CVSS and response policy
・Coordination with CVE indexing organizations (JPCERT/CC)
Moving forward, we intend to focus on dealing with these issues as well as emphasizing responsible information disclosure.

Speakers
avatar for 伊藤 彰嗣 / Akitsugu Ito

伊藤 彰嗣 / Akitsugu Ito

Cybozu, Inc.
Cy-SIRT Co-Ordinator | - https://www.cybozu.com/jp/features/management/cysirt.html | | サイボウズ株式会社でサービス / プロダクトの脆弱性検証を行うチームに所属しています。その他、自社のセキュリティ品質の向上のために、活動しています。 - 脆弱性情報をサイボウズに提供いただく外部の報告者や、IPA... Read More →


Thursday March 20, 2014 9:30am - 10:20am
TERRACE ROOM

Attendees (4)