脆弱性報告を行ってCVEを取得することに何の意味があるのか改めて考えてみる。
誰
セキュリティエンジニア。日立、パナソニック、富士通、デジタル庁、厚生労働省、法務省、金融庁、国土交通省からCVEを取得。報告先は主に情報セキュリティ早期警戒パートナーシップ(=IPA,JPCERT/CC)と、たまに各社のIncident Response Team。諸事情あり脆弱性報告を辞めた。今は資格に時間を割いている。
メリット
デジタル庁の『政府情報システムにおける脆弱性診断導入ガイドライン』において「CVEの報告実績」が推奨要件
「1)全ての脆弱性診断に共通する要件」に資格やCTF、CVEに関する記述がある。人が少なすぎるから推奨にしてるけど本当は必須にしたいとのこと。
特記すべき点として、実務者のスキルに関する要件(以下(5))は必須ではなく推奨に留めている。これは、国内では高度な専門性を有する人材が限られており調達が困難であるという現状に鑑みたものである。しかしながら、脆弱性診断の品質は実務者の知見や経験に大きく左右されるため、リスクの高いシステム等においては、(5)を必須とすることが望ましい。
肝心の(5)については以下のようになっている。確かに難易度高い要件を出している印象。
(5)以下を満たす者が1名以上診断に参画すること。条件を満たさない場合は、経験を満たすことと同等以上の技術を保持していることを政府機関の職員が判断できる理由が具体的に提示されること(推奨)
(5-1) OSCP、OSWA、GWAPT、GPEN、GMOBまたはその上位資格の保有
(5-2) CTF 等のセキュリティコンテストにおける上位入賞実績
(5-3) CVE の報告実績
CVE保有者を増やし推奨要件を満たすことで政府系案件の獲得率向上を図ることができる。
技術力評価の指標になるので顧客の安心感につながる
一般的な民間企業が脆弱性診断を依頼するとき、診断業者の技術力を定量的に測るのは難しい。そうなると結局はデジタル庁の『政府情報システムにおける脆弱性診断導入ガイドライン』を参照する、あるいは似たような結論になる。つまり資格・CTF成績・CVEを技術力の指標として参考にすることが予想でき、これらを満たすことで顧客の安心感につながる可能性が高い。顧客の安心感につながるなら努力するのは専門家としての責務であると思う。
脆弱性に対する知識が深まる
未知の脆弱性を発見し、原因の分析を行い、検証環境を立ててPoCを作成し、外部の開発さんにも分かりやすいように脆弱性の概要と推奨策をまとめて、、、ということを行っていると自然と対象の脆弱性に詳しくなる。
脆弱性の発見、検証環境の構築、報告書の作成・レビュー、という流れが診断業務に役立つ
脆弱性に対する知識が付くほかに、プロセスとして診断業務と共通する部分がいくつかあるので後々役に立つ。また、業務と違い自発的な脆弱性報告は時間を無限に使えるので、診断の練習としても向いていると思っていた。
世の中が安全になる
脆弱性報告を行うことで世の中が少し安全になる。一般的にセキュリティエンジニアは安全・安心な社会の維持に貢献することが望ましいとされている。
【前文(一部抜粋)】
情報処理安全確保支援士は、社会的通念やモラルに従い、情報セキュリティの専門家としての矜持を保ちつつ、サイバーセキュリティの確保を通じて、公衆の生命・安全・財産を保護し、安全・安心な社会の維持に貢献する。
『ISC2倫理規約』
【倫理規約の序文(一部抜粋)】
社会の安全と福祉、公共の利益、そして専門家としての義務を果たすために、最高の倫理的行動規範を遵守し、また遵守している姿勢を示す必要があります。【倫理規約における規範(一部抜粋)】
社会、公益、公共から求められる信頼と信用、インフラを守る。
また、企業の目標として社会貢献を挙げているところも多い。脆弱性報告はその目標と合致する可能性もある。
中途採用の歓迎要件
特にリンクは張らないが、中途採用の歓迎要件としてCVEを挙げている企業も多い。もしかしたら転職時に年収が上がるのかもしれない。
デメリット
関係各社・各組織との関係悪化。「なぜソフトウェアを攻撃しているのか」と問い詰められる可能性がある。また、脆弱性の修正には予定外の工数がかかることが一般的であるため、関係悪化の可能性がある。そのため、上記メリットよりも関係悪化の懸念が大きい場合、脆弱性報告は行わない方が良いと判断される。