CISA が立ち上げた民間機関向けの脆弱性開示プラットフォームとは?

CISA launches vulnerability disclosure platform for federal agencies

2021/07/30 BleepingComputer — 今日のこと、Cybersecurity and Infrastructure Security Agency (CISA) は、米国連邦民間機関向けに新たな脆弱性開示ポリシー (VDP : vulnerability disclosure policy) プラットフォームの提供を開始した。

最初に6月に発表された、BugCrowd と EnDyna による連邦民間企業全体の Crowd Source VDP プラットフォームは、2020年9月に発行された Binding Operational Directive (BOD) 20-01 をサポートするために確立されている。新たに開始された VDP プラットフォーム・サービスにより、連邦民事執行機関 (FCEB : Federal Civilian Executive Branch) の各機関は、世界中のホワイト・ハッカーの協力を得て、重要システムのセキュリティ・ギャップを特定/監視/解消することが可能になる。

CISA の Executive Assistant Director for Cybersecurity である Eric Goldstein は、「この Crowd Source プラットフォームを利用することで、連邦民間機関はセキュリティ・リサーチ・コミュニティと効率的に連携することができ、インシデントを報告する側も、単一の使いやすい Web サイトへの調査結果の提出が可能となる。

このプラットフォームは、独自のスキルを持った研究者が脆弱性レポートを提出することで、官民の連携と情報共有を促進し、これまで未確認だった脆弱性について、各機関の理解と対処を促進する」と述べている。CISA の VDPプラットフォームは、連邦政府機関の Web サイトや、インターネットに接続された資産において、研究者を含む民間人により開示された脆弱性を受信して、トリアージするために中央ポータルとして機能する。

当初は、BugCrowd と EnDyna が、FCEB の VDP を介して提出された脆弱性レポートを評価することで、各機関における時間の短縮とリソースの解放を促進し、実際に影響を及ぼす重要システムに関するバグレポートに集中していく。CISA は、「この新しいプラットフォームにより、各機関は潜在的な脆弱性について、より深い洞察を得ることができ、サイバーセキュリティ態勢を改善することが可能となる。また、このアプローチにより各機関は、脆弱性の報告/特定/トリアージを可能にするため、に別のシステムを開発する必要がなくなり、政府全体で $10 million 以上のコスト削減が可能になると推定する」と述べている。

今回の VDP プラットフォームの発表は、2020年12月の SolarWinds サプライチェーン攻撃に端を発した、米国政府機関や重要インフラを標的とするサイバー攻撃の嵐を受けてのものである。それ後も、金銭的な動機を持つ国家支援ハッキング・グループは、広範囲にわたる Microsoft Exchange のハッキング・キャンペーンの背後にいて、Colonial Pipeline / JBS Foods / Kaseya の顧客のネットワークに対して、ランサムウェアによる攻撃を継続している。

これらの攻撃を受けて、水曜日にバイデン大統領は、国家安全保障に関する覚書を発行し、重要インフラの所有者および運営者に対して、基本的なパフォーマンス目標を設定することで、重要インフラのセキュリティ強化を支援した。また、前日にもバイデン大統領は、深刻なセキュリティ侵害が、世界の大国での現実の戦争にエスカレートする可能性があると警告した。バイデン大統領の発言は、6月中旬に発表された NATO の声明で、「重大なサイバー攻撃の影響は武力攻撃に匹敵する」との例えを受けてのものだ。

VDP : Vulnerability Disclosure Policy ってイイですね。とにかく、情報の共有と活用が、セキュアなインターネットのためのキーワードです。この脆弱性情報ですが、行政により「開示ポリシー」を定め、情報が共有されるよう、誰かにリードしてほしいものです。ご存知のように、米国には NIST の NVD があり、日本には JPCERT/CC がありますが、NVD には何か足りないものがあるので、この VDP プラットフォームなのでしょう。今後も、この CISA の VDP には注目してきたいです。

%d bloggers like this: