セキュリティの実績を作ろう!JVNへの報告

セキュリティ

セキュリティ業界だけではないですが、実績を持つことは非常に重要です。

そこまで大きな実績ではなくても、持っているだけで少し安心したり、自信がついたりするものです。

今回は比較的取り組み易いと思われるJVNへの脆弱性報告について記事にしていきます。

なお、内容については個人的な見解を含んでいますので、予めご了承ください。

当時の状況について

私自身、IT業界自体が元々の研究と違っていたこともあり、何の実績も持たない状態で入社しました。

初年度、次年度は特に気にしていなかったのですが、三年目くらいからそろそろ実績というものが欲しいなと漠然と感じていました。

IPAの資格や今保持しているISACAの資格などがあれば少しは違ったかもしれませんが、当時は何も資格は持っていません。

案件等の調整などはやっていましたが、実績と呼ぶには自分で盛ることもできるので少し懸念がありました。

また、SCCON等の大会で上位に入る実力はありません・・・

そこで当時の自分は考えました!

今やっている仕事に直結しており、自分のペースで作業もでき、お金もかからない!それは・・・

JVNへの脆弱性報告だ!
※脆弱性を探すものによってはお金かかります。

また、JVNはお金貰えないし、HackerOneの方がという意見も非常に分かりますが、HackerOneに参加していないものも多いので、状況を見てやることをオススメします。

脆弱性を見つけよう!その前に・・・

脆弱性を見つけるといっても、Googleで検索したサイトへ片っ端からアクセスして脆弱性を見つけるわけではありません。

CVE番号が付与される脆弱性を見つける必要がありますので注意が必要です。

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。
参考:IPA共通脆弱性識別子CVE概説

製品であることが必要なので、ご注意ください。

なお、脆弱性を見つける作業に入る前にIPAの以下のサイトをちゃんと読んでから実施してください。報告の仕方も紹介されています。

・IPA:脆弱性関連情報の届出受付

ちなみに私が報告した際は「ウェブ届出フォーム」は使用できず、メールで送信していました。

さあ実践、対象は?

まずは対象を決めることが重要です。個人的なおすすめは「CMS」です!

「CMS」と聞くとWordPressを思い浮かべる人も多いですが、他にもたくさんあります。

とりあえず当時の自分は「国産CMS」に絞って手あたり次第に動かしまくりました。

なお、動かす場合は分かっているかと思いますが最新版を使用するようにしてくださいね。

見つけた脆弱性が最新版で既に対応されていたとかあると凹みます。

いわゆるLAMP環境と呼ぶ環境で動かすものだけではないので、非常に四苦八苦します。

CMSを動かすだけで半日~1日程度かかる場合もありますが、仕事ではないので楽しく真剣にやりましょう。(諦めないことは大事です!)

また、ログなどはちゃんと残しましょう。

普段の脆弱性診断と同じような形でログやキャプチャを取得すれば十分だと思います。

仕事でやっていない方はこれを見たらある程度分かる人なら再現ができるだろうと思われるログを取得してください。

次は報告ですがフォーマットが決まっていますのでそれ通りに記載するだけです。

ここまで準備できた人ならすぐに対応できるはず!

メールやWebからの送信が終わったら第一報はすぐに来るはずです。(受信確認メールですが。)

さあ、そこからが非常に長いです。

早いものであればすぐに対応してくれるかと思いますが、私の場合は早くて半年、長いと一年程度待ちました。

忘れたころに掲載の連絡が来ましたね。(しかも忙しい時期だったので・・・)

追加で特段することはなく、掲載する名前と所属(日本語と英語バージョン両方必要)をどうするのかをメールで送信して終わりです。

これはペンネームでも大丈夫っぽいですが、私は折角なので当時の職場と実際のフルネームで登録しました。(その方が実績としては提示しやすいし)

実際にJVNに掲示されたらメールで連絡も来るので、社内メールで自慢するなり、ツイッターに自慢するなりしましょう。(私は両方やりませんでしたが・・・)

なお、これで社内評価が上がるかは所属する会社次第ですが、きっと多少の評価はしてもらえるはずです。

この一覧に自己満足に近いですが嬉しいですよ~ちなみに以下は本日(2019/8/19)のJVNの脆弱性一覧です。

最後に

JVNの報告は社会人だけではなく、学生も行うことができます。(実際に学生の報告も多くみられます。)

ホワイトハッカーっぽい内容でもありますので、自己満足度も高いかと思います。(個人的感想)

CMSであればVM等に環境を作ってしまえばいつでも調査できるので、暇つぶしにも良いかもしれません。

私自身は4つほどCVE番号を持っていますが、そこまで時間がかかったわけではなく業務の空き時間で環境準備から脆弱性の発見、報告までできました。

もちろん一日でそこまでやったわけではなく、合間合間で数日かけてちょこちょこ作業していました。

実績になるまで(JVNに載るまで)時間はかかりますが、CVE番号は正解でユニークな一つの番号が採番されるので、チャレンジしてみては如何でしょうか?

なお、チャレンジする際は上で紹介していますがIPAのサイトはちゃんと読んでから実施してください。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

Webセキュリティ担当者のための脆弱性診断スタートガイド 第2版 上野宣が教える新しい情報漏えいを防ぐ技術 [ 上野 宣 ]

posted with カエレバ
楽天市場
Amazon
7net
スポンサーリンク

コメント