PSIRT ブログ

PSIRTと責任ある開示

投稿者 Carl Windsor | 2021年8月20日

フォーティネットのPSIRT(Product Security Incident Response Team)は、ハードウェア、ソフトウェア、仮想マシン、クラウドなど40以上の製品のセキュリティを調整し、四半期ごとに出荷されるファイアウォールの数は、最も近い競合他社4社よりも多くなっています。私たちは、プロセスの改善、従業員のトレーニング、製品のセキュリティの直接的な改善、サードパーティの脅威リサーチャーとの緊密な連携、報告されたすべての問題に対するタイムリーな対応を確保するために、日々努力しています。

Rapid7が指摘したFortiWebの脆弱性に関して、フォーティネットは定例外アドバイザリ(FG-IR-21-116)を発行し、解決策とワークアラウンドをお知らせしています。

ワークアラウンド: 信頼できないネットワークからの管理インターフェースへのアクセスを無効にし、トラステッドホスト機能を使用して、管理ユーザーの信頼されたIPアドレスからのアクセスに制限します。

現在、可能な限り迅速に修正プログラムを提供するよう努めており、修正プログラムが提供され次第、このアドバイザリは更新されます。今回の事態は、より良いコミュニケーションによって回避することができた、望ましくない状況です。

フォーティネットは、この問題を解決するだけでなく、今回の事例を学習の機会と捉え、サードパーティのリサーチャーとのコミュニケーションの改善を含め、今後の教訓とすることを検討しています。すべての提出者に、彼らの責任ある開示ポリシーを前もって開示することを強く求めます。フォーティネットは、この要求を当社のPSIRTプロセスに追加し、サプライズがないようにします。さらに、当社のPSIRTポリシーにおいて、当社独自の責任ある開示プロセスをより明確にしていきます。

フォーティネットでは、お客様の組織を最善の方法で保護し、セキュリティを確保するために、常にお客様とともに歩んでいます。この継続的なプロセスにおいて、どのように協力していけばよいか、お客様からのフィードバックをお待ちしています。ご提案やご意見がございましたら、PSIRTのコンタクトフォーム(英語)からご連絡ください。

タイムリーな解決

フォーティネットは、お客様、パートナー、サードパーティのリサーチャーと協力して問題を解決することを称賛します。特に、サードパーティのリサーチャーは、責任ある開示ポリシーに沿ってサイバーセキュリティのエコシステムを保護する上で重要な役割を果たしています。これらのポリシーは、お客様の保護を確保しつつ、調査と完全な解決のための時間を確保するものです。

フォーティネットでは、解決までの平均時間を90日とすることを目標としており、例外的な状況を除き、この目標の達成に努めています。フォーティネットの90日開示ポリシーは、多くの組織で採用されています。以下に、一般的な責任ある開示のスケジュールの例を示します。

CERT/CC                                45日

Google Project Zero               90日

Fortinet FortiGuard                 90日

ZDI                                          120日

ここ数ヶ月、フォーティネットPSIRTは、お客様のアップグレードプロセスの調整を支援するために、いくつかのポリシーを変更し、「パッチチューズデー」アドバイザリモデルに移行しました。フォーティネットでは、パッチ疲れを回避するために、お客様がアップグレードに集中できるように、1か月に1回のアップグレードを提供することで、お客様のアップグレード率の向上を目指しています。

フォーティネットでは、報告された特定の問題を限定的に修正するのではなく、他の可能性のある攻撃ベクターを特定するための亜種の分析も行っているため、修正内容は報告された問題よりも広範囲に及び、追加のリソースを必要とする場合があります。フォーティネットのサポートおよびPSIRTポリシーの一環として、また問題によっては、過去にさかのぼって複数のファームウェアバージョンをサポートすることがありますが、いずれもアドバイザリ公開前に解決することを目指しています。また、フォーティネットでは、お客様が問題に早期に対処できるよう、事前に通知を行うよう努めています。

上記のように、90日以内に解決できない場合もありますが、お客様をお守りするために、早期に目標を達成できるよう努力しています。

報道されている内容にもかかわらず、フォーティネットはいかなるリサーチャーを非難したり異議を唱えたりしていません。フォーティネットは、サードパーティのリサーチャーとの協力関係を十分に評価しています。しかし、このプロセスにおいて責任を持って協力し、報告機関の開示ポリシーを前もって開示し、サイバーセキュリティのエコシステムを保護し、当社のお客様に必要とされる潜在的な減災策を提供するために、公表について十分な通知を行うようお願いします。

タグ: