CISA Secure by Design 宣誓から1年｜NRIセキュアテクノロジーズの実践と学び

NRIセキュアテクノロジーズはセキュリティ製品を提供するセキュリティ専門企業として、2024年10月21日に米サイバーセキュリティ・社会基盤安全保障庁（CISA）のSecure by Design宣誓に署名しました^[i] 。

本ブログでは、当社がCISA Secure by Designの取り組みとしてCISAが掲げる7つの目標への進捗を報告します。また、実際の取り組みの中の課題や注意点についてもご紹介します。企業の情報セキュリティ担当者の皆様が自社のセキュリティ強化という観点で参考にしていただければ幸いです。

Secure by Design宣誓における7つの目標の達成状況

下表に、CISA Secure by Designの7つの目標と当社による取り組みの活動状況を記載します。

当社は創業以来、セキュリティ専門企業としてお客様のセキュリティに関するご支援を行ってまいりましたが、自社のソフトウェアプロダクト開発においてもセキュリティを重視して開発に取り組んできました。そのため、CISA Secure by Design宣誓への署名以前からSecure by Designの考えを基本に、セキュアなプロダクト開発に取り組んできました。したがって、7つの目標の中には、当社が既に実施していた内容も含まれています。

Secure by Design宣誓への署名後の取り組み

本ブログでは、CISA  Secure by Design宣誓の7つの目標の内、企業の情報セキュリティ担当者が開発部署を横断で調整を行い、ポリシー公開や社内手順の整備をする必要がある「脆弱性公開ポリシーの公開」と「CVEの公開」の取り組みについて紹介します。

脆弱性公開ポリシーの公開

脆弱性公開ポリシーは、製品利用者や外部のセキュリティリサーチャー（バグハンターなど）から自社製品やサービスの脆弱性報告を受け付ける際のルールや手続きを定めた文書です。このポリシーを公開することで、脆弱性の調査を行う善意のリサーチャーや脆弱性発見者に対して、法的措置を行われない範囲を明確化し、報告先を明確化することで脆弱性調査・報告を促進します。これにより、未発見だった脆弱性を認識することができ、当該脆弱性の対策を行うことで対象製品のセキュリティ向上が期待できます。

当社ではこれまで脆弱性公開ポリシーの公開を行っていなかったため、本年度の取り組みとして当社製品の脆弱性の調査や脆弱性報告を受け付けるために脆弱性公開ポリシー（https://www.nri-secure.co.jp/vulnerability_policy）を整備し、公開しました。

脆弱性開示ポリシーを公開するためには、報告者に影響する脆弱性の調査に関する法的リスクや報告を受けた脆弱性の取扱が不適切だったことによる当該脆弱性の悪用リスクなどを考慮する必要があります。また、脆弱性報告を受けた際の運用方法や責任区分を整理し、社内の各部署（法務部署、広報部署、開発部署など）と調整を行う必要があります。そのため、特に脆弱性調査を許可することへのセキュリティ上の懸念や運用負荷が上昇する懸念などから開発部署との調整は難航すると当初は考えていました。しかしセキュリティ専門企業として、開発部署もセキュリティ向上への取り組みに前向きな姿勢を示したことからスムーズに脆弱性公開ポリシーの整備に取り組むことができました。

脆弱性公開ポリシーを整備する際は、単なる文書作成ではなく、脆弱性調査や報告が行われた場合の状況や対応フローを明確化し関係部署と合意を形成しながら進めました。例えば、脆弱性公開ポリシーに従った脆弱性調査なのか、悪意のある攻撃なのかを区別できるようにするために、脆弱性公開ポリシーが適用される製品や許可する調査方法を明確に示しました。また、信頼性と透明性の高い運用を実現するため、報告を受け付けた後の対応手順や、対応期限の目安、報告者へのフィードバック方針についても具体的に明示しました。さらに、万一脆弱性開示に伴い予期せぬインシデントや顧客からの問い合わせが発生した場合の対応フローも事前に想定しておき、迅速な社内連携・情報発信ができる体制を構築し、社内の合意形成へと繋げることができました。

当初懸念された部署間の調整も、セキュリティ向上という共通目標を掲げることで乗り越えられました。今回のポリシー策定は、部門を超えた信頼関係を築く絶好の機会にもなったと実感しています。

CVEの公開

CVEの公開は、発見された脆弱性が世界共通で一意の識別番号が割り振られ、製品利用者への影響や取るべき対策を共通の形式で公開することで、製品利用者の迅速な対応を可能にします。また、蓄積・公開されたデータは開発者が脆弱性を学ぶための情報源となり、ソフトウェア業界全体のセキュリティを高めることに繋がります。

当社は、これまで当社の製品には脆弱性が発見されておらず、CVEを発行したことはありませんが、脆弱性が発見された場合に備えて、CVE公開までの脆弱性管理要領を社内ドキュメントとして整備しました。

本取り組みを進める際、社内の中でCVEとして脆弱性を公開することで、自社製品への信頼が損なわれる懸念や悪意ある第三者による悪用リスクを懸念する声が上がることもありました。しかし、脆弱性を積極的に公開し、問題解決への姿勢を示すことで、セキュリティ意識の高い企業として信頼性が向上する可能性があります。また、利用者自身が脆弱性を認識し、速やかにパッチ適用や運用変更などの対策をとることができるというメリットもあります。これらのメリットを説明したことで、計画を推し進めることができました。

次に具体的な運用ポイントとして、CVE公開を行うには、自社がCVE採番機関 (CNA)となり、自社製品の脆弱性に対して自らCVE発行・公開する方法^[ii]  とJPCERT/CCなどの外部CNAに脆弱性情報を報告し、CVE発行を代行してもらう方法^[iii]  のどちらを採用するかの議論が発生しました。自社でCNAになる場合、迅速な情報公開とセキュリティへの意識が高い企業としてのブランド向上という利点がある一方、CNAとして登録するための作業が発生することや体制維持のコストと運用責任が伴います。また、外部CNAへの依頼は、CNA登録作業を省くことができ体制維持コストをかけずに実施することができる反面、外部のCNAとCVE公開に向けて調整を行うためのコストが発生し脆弱性公開まで時間を要する可能性があります。そのため、当初はCNAとして登録を行い自社でCVE公開を目指しましたが、CVE公開頻度が不透明であることに加え、脆弱性公開ポリシーの公開に合わせてCVE公開の社内手順を整備する必要があったため、まずはCVE公開を行う際は外部CNAへ依頼することに決定しました。今後、より迅速な脆弱性情報公開が行えるようにCNAになることを視野に継続的な活動をしていきます。

社内でCVE公開の実施要領を整備するにあたって、CVE公開を行うタイミングについては社内でも様々な意見や懸念が出されました。もし、脆弱性への対策が不十分な状態で脆弱性情報が先に公開されると、パッチ未対応のユーザーやシステムが攻撃リスクに晒される場合があります。そのため、利用者への影響にも配慮し、対応策の明示を行いステークホルダーとの連携・調整を行い、原則として修正パッチや緩和策が用意できるタイミングでの公開を行う予定です。一方でゼロデイ攻撃が行われている場合は、ステークホルダーと迅速な調整を行い、暫定対策を記載したCVE公開を速やかに行うことを目指します。

当社の製品利用者が安心して利用できるように、脆弱性が発見された場合はステークホルダーと調整を行った上でCVEを公開することで、ソフトウェア業界全体のセキュリティ対策の向上に貢献していきます。

今後の取り組み

Secure by Designの7つの目標に対して、引き続き自社製品のセキュリティ改善活動を推進します。また今後、当社のプロダクトチームにおけるSecure by Designの7つの目標に対する実際の取り組みの紹介やそれ以外の独自に実施しているセキュリティ向上への取り組みを本ブログにて情報発信してまいります。

そして、NRIセキュアテクノロジーズはセキュリティ専門企業として、セキュリティに関する調査・分析、戦略立案からソリューションの導入・運用、人材育成までトータルに支援してまいりました。その実績や経験を活かし、自社のみならず、すべてのソフトウェアプロダクトを開発する企業にこの取り組みを広げて、各社のセキュアなソフトウェアプロダクトの開発を推進していきます。

[i] https://www.nri-secure.co.jp/news/2024/1220

[ii] https://www.cve.org/PartnerInformation/Partner#HowToBecomeAPartner

[iii] https://www.cve.org/ReportRequest/ReportRequestForNonCNAs