[要約] RFC 2350は、コンピュータセキュリティインシデント対応に関する期待事項をまとめたものであり、セキュリティインシデントへの対応のためのガイドラインを提供することを目的としています。
Network Working Group N. Brownlee
Request for Comments: 2350 The University of Auckland
BCP: 21 E. Guttman
Category: Best Current Practice Sun Microsystems
June 1998
Expectations for Computer Security Incident Response
コンピュータセキュリティインシデントレスポンスへの期待
Status of this Memo
本文書の状態
This document specifies an Internet Best Current Practices for the Internet Community, and requests discussion and suggestions for improvements. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネットのベストプラクティスを示し、改善のためのディスカッションと提案を要求します。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright(C)The Internet Society(1998)。全著作権所有。
Abstract
概要
The purpose of this document is to express the general Internet community's expectations of Computer Security Incident Response Teams (CSIRTs). It is not possible to define a set of requirements that would be appropriate for all teams, but it is possible and helpful to list and describe the general set of topics and issues which are of concern and interest to constituent communities.
このドキュメントの目的は、コンピュータセキュリティインシデントレスポンスチーム(CSIRT)に対する一般的なインターネットコミュニティの期待を表すことです。すべてのチームに適切な一連の要件を定義することはできませんが、構成コミュニティの関心事や関心事であるトピックや問題の一般的なセットをリストして説明することは可能であり、役立ちます。
CSIRT constituents have a legitimate need and right to fully understand the policies and procedures of 'their' Computer Security Incident Response Team. One way to support this understanding is to supply detailed information which users may consider, in the form of a formal template completed by the CSIRT. An outline of such a template and a filled in example are provided.
CSIRTの関係者には、「彼らの」コンピュータセキュリティインシデント対応チームのポリシーと手順を完全に理解する正当な必要性と権利があります。この理解をサポートする1つの方法は、CSIRTが完成した正式なテンプレートの形式で、ユーザーが検討できる詳細情報を提供することです。このようなテンプレートの概要と記入例を示します。
Table of Contents
目次
1 Introduction ....................................................2
2 Scope............................................................4
2.1 Publishing CSIRT Policies and Procedures ....................4
2.2 Relationships between different CSIRTs ......................5
2.3 Establishing Secure Communications ..........................6
3 Information, Policies and Procedures.............................7
3.1 Obtaining the Document.......................................8
3.2 Contact Information .........................................9
3.3 Charter ....................................................10
3.3.1 Mission Statement.....................................10
3.3.2 Constituency..........................................10
3.3.3 Sponsoring Organization / Affiliation.................11
3.3.4 Authority.............................................11
3.4 Policies ...................................................11
3.4.1 Types of Incidents and Level of Support...............11
3.4.2 Co-operation, Interaction and Disclosure of
Information...........................................12
3.4.3 Communication and Authentication......................14
3.5 Services ...................................................15
3.5.1 Incident Response ....................................15
3.5.1.1 Incident Triage ..............................15
3.5.1.2 Incident Coordination ........................15
3.5.1.3 Incident Resolution...........................16
3.5.2 Proactive Activities .................................16
3.6 Incident Reporting Forms ...................................16
3.7 Disclaimers ................................................17
Appendix A: Glossary of Terms ....................................18
Appendix B: Related Material .....................................20
Appendix C: Known Computer Security Incident Response Teams ......21
Appendix D: Outline for CSIRT Template ...........................22
Appendix E: Example - 'filled-in' Template for a CSIRT ...........23
4 Acknowlegements ................................................36
5 References .....................................................36
6 Security Considerations ........................................36
7 Authors' Addresses .............................................37
8 Full Copyright Statement .......................................38
1 Introduction
1はじめに
The GRIP Working Group was formed to create a document that describes the community's expectations of computer security incident response teams (CSIRTs). Although the need for such a document originated in the general Internet community, the expectations expressed should also closely match those of more restricted communities.
GRIPワーキンググループは、コンピューターセキュリティインシデントレスポンスチーム(CSIRT)に対するコミュニティの期待を説明するドキュメントを作成するために設立されました。このようなドキュメントの必要性は一般的なインターネットコミュニティで発生しましたが、表明された期待は、より制限されたコミュニティの期待にも厳密に一致するはずです。
In the past there have been misunderstandings regarding what to expect from CSIRTs. The goal of this document is to provide a framework for presenting the important subjects (related to incident response) that are of concern to the community.
過去には、CSIRTに何を期待すべきかについて誤解がありました。このドキュメントの目的は、コミュニティが関心を持つ重要な主題(インシデント対応に関連する)を提示するためのフレームワークを提供することです。
Before continuing, it is important to clearly understand what is meant by the term "Computer Security Incident Response Team." For the purposes of this document, a CSIRT is a team that performs, coordinates, and supports the response to security incidents that involve sites within a defined constituency (see Appendix A for a more complete definition). Any group calling itself a CSIRT for a specific constituency must therefore react to reported security incidents, and to threats to "their" constituency in ways which the specific community agrees to be in its general interest.
続行する前に、「コンピュータセキュリティインシデント対応チーム」という用語の意味を明確に理解することが重要です。このドキュメントでは、CSIRTは、定義されたConstituency内のサイトに関連するセキュリティインシデントへの対応を実行、調整、およびサポートするチームです(より完全な定義については、付録Aを参照してください)。したがって、特定の選挙区のCSIRTと名乗るグループは、報告されたセキュリティインシデント、および特定のコミュニティがその一般的な利益に同意する方法で「彼ら」の選挙区に対する脅威に対応する必要があります。
Since it is vital that each member of a constituent community be able to understand what is reasonable to expect of their team, a CSIRT should make it clear who belongs to their constituency and define the services the team offers to the community. Additionally, each CSIRT should publish its policies and operating procedures. Similarly, these same constituents need to know what is expected of them in order for them to receive the services of their team. This requires that the team also publish how and where to report incidents.
所属コミュニティの各メンバーがチームに何を期待するのが合理的であるかを理解できることが不可欠であるため、CSIRTは、選挙区に誰が属しているかを明確にし、チームがコミュニティに提供するサービスを定義する必要があります。さらに、各CSIRTはそのポリシーと運用手順を公開する必要があります。同様に、これらの同じ構成員は、彼らのチームのサービスを受けるために、彼らに何が期待されているかを知る必要があります。これには、チームがインシデントを報告する方法と場所も公開する必要があります。
This document details a template which will be used by CSIRTs to communicate this information to their constituents. The constituents should certainly expect a CSIRT to provide the services they describe in the completed template.
このドキュメントでは、CSIRTがこの情報を関係者に伝達するために使用するテンプレートについて詳しく説明します。有権者は確かに、CSIRTが完成したテンプレートで記述するサービスを提供することを期待する必要があります。
It must be emphasized that without active participation from users, the effectiveness of the CSIRT's services can be greatly diminished. This is particularly the case with reporting. At a minimum, users need to know that they should report security incidents, and know how and to where they should report them.
ユーザーからの積極的な参加がなければ、CSIRTのサービスの有効性が大幅に低下する可能性があることを強調しておく必要があります。これは特にレポートの場合です。少なくとも、ユーザーは、セキュリティインシデントを報告する必要があること、および報告する方法と場所を知っている必要があります。
Many computer security incidents originate outside local community boundaries and affect inside sites, others originate inside the local community and affect hosts or users on the outside. Often, therefore, the handling of security incidents will involve multiple sites and potentially multiple CSIRTs. Resolving these incidents will require cooperation between individual sites and CSIRTs, and between CSIRTs.
多くのコンピュータセキュリティインシデントは、ローカルコミュニティの境界外で発生してサイト内に影響を及ぼします。その他のインシデントはローカルコミュニティ内で発生し、外部のホストまたはユーザーに影響を及ぼします。したがって、多くの場合、セキュリティインシデントの処理には、複数のサイトと、場合によっては複数のCSIRTが含まれます。これらのインシデントを解決するには、個々のサイトとCSIRTの間、およびCSIRTの間の協力が必要になります。
Constituent communities need to know exactly how their CSIRT will be working with other CSIRTs and organizations outside their constituency, and what information will be shared.
有権者コミュニティは、CSIRTが有権者以外の他のCSIRTや組織とどのように連携するか、どの情報が共有されるかを正確に知る必要があります。
The rest of this document describes the set of topics and issues that CSIRTs need to elaborate for their constituents. However, there is no attempt to specify the "correct" answer to any one topic area. Rather, each topic is discussed in terms of what that topic means.
このドキュメントの残りの部分では、CSIRTが構成要素について詳しく説明する必要がある一連のトピックと問題について説明します。ただし、1つのトピック領域に対して「正しい」回答を指定する試みはありません。むしろ、各トピックはそのトピックが何を意味するかという観点から議論されます。
Chapter two provides an overview of three major areas: the publishing of information by a response team, the definition of the response team's relationship to other response teams, and the need for secure communications. Chapter three describes in detail all the types of information that the community needs to know about their response team.
第2章では、3つの主要な領域の概要について説明します。対応チームによる情報の公開、対応チームと他の対応チームとの関係の定義、および安全な通信の必要性です。第3章では、コミュニティが対応チームについて知る必要があるすべてのタイプの情報について詳しく説明します。
For ease of use by the community, these topics are condensed into an outline template found in Appendix D. This template can be used by constituents to elicit information from their CSIRT.
コミュニティが使いやすいように、これらのトピックは付録Dにある概要テンプレートにまとめられています。このテンプレートは、構成員がCSIRTから情報を引き出すために使用できます。
It is the working group's sincere hope that through clarification of the topics in this document, understanding between the community and its CSIRTs will be increased.
このドキュメントのトピックを明確にすることで、コミュニティとそのCSIRTの間の理解が深まることは、ワーキンググループの誠実な希望です。
2 Scope
2スコープ
The interactions between an incident response team and its constituent community response team require first that the community understand the policies and procedures of the response team. Second, since many response teams collaborate to handle incidents, the community must also understand the relationship between their response team and other teams. Finally, many interactions will take advantage of existing public infrastructures, so the community needs to know how those communications will be protected. Each of these subjects will be described in more detail in the following three sections.
インシデント対応チームとそれを構成するコミュニティ対応チームの間のやり取りでは、まずコミュニティが対応チームのポリシーと手順を理解する必要があります。次に、多くの対応チームが協力してインシデントを処理するため、コミュニティは対応チームと他のチームとの関係も理解する必要があります。最後に、多くの対話は既存の公共インフラストラクチャを利用するため、コミュニティはこれらの通信がどのように保護されるかを知る必要があります。これらの各テーマについては、次の3つのセクションで詳しく説明します。
Each user who has access to a Computer Security Incident Response Team should know as much as possible about the services of and interactions with this team long before he or she actually needs them.
コンピュータセキュリティインシデントレスポンスチームにアクセスできる各ユーザーは、実際に必要になるずっと前に、このチームのサービスとやり取りについて可能な限り知っておく必要があります。
A clear statement of the policies and procedures of a CSIRT helps the constituent understand how best to report incidents and what support to expect afterwards. Will the CSIRT assist in resolving the incident? Will it provide help in avoiding incidents in the future? Clear expectations, particularly of the limitations of the services provided by a CSIRT, will make interaction with it more efficient and effective.
CSIRTのポリシーと手順の明確な説明は、関係者がインシデントを報告する最善の方法とその後に期待するサポートを理解するのに役立ちます。 CSIRTはインシデントの解決を支援しますか?今後のインシデントを回避するのに役立ちますか?特にCSIRTによって提供されるサービスの制限についての明確な期待は、CSIRTとの相互作用をより効率的かつ効果的にします。
There are different kinds of response teams: some have very broad constituencies (e.g., CERT Coordination Center and the Internet), others have more bounded constituencies (e.g., DFN-CERT, CIAC), and still others have very restricted constituencies (e.g., commercial response teams, corporate response teams). Regardless of the type of response team, the constituency supported by it must be knowledgeable about the team's policies and procedures. Therefore, it is mandatory that response teams publish such information to their constituency.
対応チームにはさまざまな種類があります。たとえば、非常に幅広い支持者(CERTコーディネーションセンターやインターネットなど)を持っている人、より限定された支持者(たとえば、DFN-CERT、CIAC)を持っている人、非常に限られた支持者(たとえば、商業対応チーム、企業対応チーム)。対応チームのタイプに関係なく、対応チームは、チームのポリシーと手順について知識がなければなりません。したがって、対応チームがそのような情報をConstituencyに公開することは必須です。
A CSIRT should communicate all necessary information about its policies and services in a form suitable to the needs of its constituency. It is important to understand that not all policies and procedures need be publicly available. For example, it is not necessary to understand the internal operation of a team in order to interact with it, as when reporting an incident or receiving guidance on how to analyze or secure one's systems.
CSIRTは、その構成員のニーズに適した形式で、そのポリシーとサービスに関するすべての必要な情報を伝達する必要があります。すべてのポリシーと手順を公開する必要があるわけではないことを理解することが重要です。たとえば、インシデントを報告したり、自分のシステムを分析または保護する方法に関するガイダンスを受け取ったりするときのように、チームと対話するためにチームの内部操作を理解する必要はありません。
In the past, some teams supplied a kind of Operational Framework, others provided a Frequently Asked Questions list (FAQ), while still others wrote papers for distribution at user conferences or sent newsletters.
過去には、ある種の運用フレームワークを提供するチームもあれば、よくある質問リスト(FAQ)を提供するチームもあれば、ユーザー会議で配布するために論文を書いたり、ニュースレターを送信したりするチームもありました。
We recommend that each CSIRT publish its guidelines and procedures on its own information server (e.g. a World Wide Web server). This would allow constituents to easily access it, though the problem remains of how a constituent can find his or her team; people within the constituency have to discover that there is a CSIRT "at their disposal."
各CSIRTは、独自の情報サーバー(World Wide Webサーバーなど)でガイドラインと手順を公開することをお勧めします。これにより、コンスティチュエントが簡単にアクセスできるようになりますが、コンスティチュエントがどのようにしてチームを見つけることができるかという問題は残ります。選挙区内の人々は、「自由に使える」CSIRTがあることを発見する必要があります。
It is foreseen that completed CSIRT templates will soon become searchable by modern search engines, which will aid in distributing information about the existence of CSIRTs and basic information required to approach them.
完成したCSIRTテンプレートは、すぐに最新の検索エンジンで検索可能になり、CSIRTの存在に関する情報とそれらにアプローチするために必要な基本情報の配布に役立つことが予想されます。
It would be very useful to have a central repository containing all the completed CSIRT templates. No such repository exists at the time of writing, though this might change in the future.
完成したすべてのCSIRTテンプレートを含む中央リポジトリがあると非常に便利です。このリポジトリは、現時点では存在しませんが、将来的に変更される可能性があります。
Regardless of the source from which the information is retrieved, the user of the template must check its authenticity. It is highly recommended that such vital documents be protected by digital signatures. These will allow the user to verify that the template was indeed published by the CSIRT and that it has not been tampered with. This document assumes the reader is familiar with the proper use of digital signatures to determine whether a document is authentic.
情報の取得元に関係なく、テンプレートのユーザーはその信頼性を確認する必要があります。このような重要なドキュメントはデジタル署名で保護することを強くお勧めします。これらにより、ユーザーはテンプレートが実際にCSIRTによって公開されたこと、およびテンプレートが改ざんされていないことを確認できます。このドキュメントは、読者がドキュメントが本物であるかどうかを判断するためのデジタル署名の適切な使用に精通していることを前提としています。
In some cases a CSIRT may be able to operate effectively on its own and in close cooperation with its constituency. But with today's international networks it is much more likely that most of the incidents handled by a CSIRT will involve parties external to its constituency. Therefore the team will need to interact with other CSIRTs and sites outside its constituency.
場合によっては、CSIRTは、それ自体で、またConstituencyと密接に連携して、効果的に動作できる場合があります。しかし、今日の国際ネットワークでは、CSIRTによって処理されるインシデントのほとんどが、その選挙区の外部の関係者を巻き込む可能性がはるかに高くなります。したがって、チームはそのConstituencyの外部の他のCSIRTおよびサイトと対話する必要があります。
The constituent community should understand the nature and extent of this collaboration, as very sensitive information about individual constituents may be disclosed in the process.
個々の有権者に関する非常に機密性の高い情報がプロセスで開示される可能性があるため、有権者コミュニティはこのコラボレーションの性質と範囲を理解する必要があります。
Inter-CSIRT interactions could include asking other teams for advice, disseminating knowledge of problems, and working cooperatively to resolve a security incident affecting one or more of the CSIRTs' constituencies.
CSIRT間のやり取りには、他のチームにアドバイスを求めること、問題に関する知識を広めること、CSIRTの1つ以上の支持者に影響を与えるセキュリティインシデントを解決するために協力して作業することが含まれます。
In establishing relationships to support such interactions, CSIRTs must decide what kinds of agreements can exist between them so as to share yet safeguard information, whether this relationship can be disclosed, and if so to whom.
そのような相互作用をサポートする関係を確立する際、CSIRTは、保護関係の情報、この関係を開示できるかどうか、開示できるかどうか、だれに公開するかを決定する必要があります。
Note that there is a difference between a peering agreement, where the CSIRTs involved agree to work together and share information, and simple co-operation, where a CSIRT (or any other organization) simply contacts another CSIRT and asks for help or advice.
関係するCSIRTが協力して情報を共有することに同意するピアリング契約と、CSIRT(または他の組織)が別のCSIRTに連絡して助けや助言を求めるだけの単純な協力には、違いがあることに注意してください。
Although the establishment of such relationships is very important and affects the ability of a CSIRT to support its constituency, it is up to the teams involved to decide about the details. It is beyond the scope of this document to make recommendations for this process. However, the same set of information used to set expectations for a user community regarding sharing of information will help other parties to understand the objectives and services of a specific CSIRT, supporting a first contact.
そのような関係の確立は非常に重要であり、CSIRTがその支持者をサポートする能力に影響を与えますが、詳細について決定するのは関与するチーム次第です。このプロセスの推奨事項を作成することは、このドキュメントの範囲を超えています。ただし、情報の共有に関するユーザーコミュニティへの期待を設定するために使用される同じ情報セットは、他の当事者が特定のCSIRTの目的とサービスを理解し、最初の連絡先をサポートするのに役立ちます。
Once one party has decided to share information with another party, or two parties have agreed to share information or work together - as required for the coordination of computer security incident response - all parties involved need secure communications channels. (In this context, "secure" refers to the protected transmission of information shared between different parties, and not to the appropriate use of the information by the parties.)
コンピュータセキュリティインシデントへの対応の調整に必要な場合、一方の当事者が他方の当事者と情報を共有することを決定するか、2つの当事者が情報の共有または共同作業に同意すると、関係者全員が安全な通信チャネルを必要とします。 (この文脈では、「安全な」とは、異なる当事者間で共有される情報の保護された送信を指し、当事者による情報の適切な使用を指すものではありません。)
The goals of secure communication are:
安全な通信の目標は次のとおりです。
- Confidentiality: Can somebody else access the content of the communication?
- 機密性:誰かがコミュニケーションのコンテンツにアクセスできますか?
- Integrity: Can somebody else manipulate the content of the communication?
- 整合性:誰かがコミュニケーションの内容を操作できますか?
- Authenticity: Am I communicating with the "right" person?
- 真正性:「適切な」人と通信していますか?
It is very easy to send forged e-mail, and not hard to establish a (false) identity by telephone. Cryptographic techniques, for example Pretty Good Privacy (PGP) or Privacy Enhanced Mail (PEM) can provide effective ways of securing e-mail. With the correct equipment it is also possible to secure telephone communication. But before using such mechanisms, both parties need the "right" infrastructure, which is to say preparation in advance. The most important preparation is ensuring the authenticity of the cryptographic keys used in secure communication:
偽造された電子メールを送信することは非常に簡単であり、電話で(偽の)身元を確立することは難しくありません。 Pretty Good Privacy(PGP)やPrivacy Enhanced Mail(PEM)などの暗号化技術は、電子メールを保護する効果的な方法を提供できます。適切な機器を使用すると、電話通信を保護することもできます。ただし、このようなメカニズムを使用する前に、両方の当事者が「適切な」インフラストラクチャ、つまり事前の準備が必要です。最も重要な準備は、安全な通信で使用される暗号化キーの信頼性を確保することです。
- Public keys (for techniques like PGP and PEM): Because they are accessible through the Internet, public keys must be authenticated before use. While PGP relies on a "Web of Trust" (where users sign the keys of other users), PEM relies on a hierarchy (where certification authorities sign the keys of users).
- 公開キー(PGPやPEMなどの手法の場合):インターネット経由でアクセスできるため、使用する前に公開キーを認証する必要があります。 PGPは「Web of Trust」(ユーザーが他のユーザーのキーに署名する)に依存していますが、PEMは階層(認証局がユーザーのキーに署名する)に依存しています。
- Secret keys (for techniques like DES and PGP/conventional encryption): Because these must be known to both sender and receiver, secret keys must be exchanged before the communication via a secure channel.
- 秘密鍵(DESやPGP /従来の暗号化などの技法の場合):これらは送信者と受信者の両方に知られている必要があるため、安全なチャネルを介して通信する前に秘密鍵を交換する必要があります。
Communication is critical to all aspects of incident response. A team can best support the use of the above-mentioned techniques by gathering all relevant information, in a consistent way. Specific requirements (such as calling a specific number to check the authenticity of keys) should be clear from the start. CSIRT templates provide a standardized vehicle for delivering this information.
コミュニケーションは、インシデント対応のすべての側面にとって重要です。チームは、関連するすべての情報を一貫した方法で収集することにより、上記の手法の使用を最もよくサポートできます。特定の要件(特定の番号を呼び出してキーの信頼性を確認するなど)は、最初から明確にする必要があります。 CSIRTテンプレートは、この情報を提供するための標準化された手段を提供します。
It is beyond the scope of this document to address the technical and administrative problems of secure communications. The point is that response teams must support and use a method to secure the communications between themselves and their constituents (or other response teams). Whatever the mechanism is, the level of protection it provides must be acceptable to the constituent community.
安全な通信の技術的および管理上の問題に対処することは、このドキュメントの範囲を超えています。重要なのは、対応チームは、サポートチームとその構成員(または他の対応チーム)との間の通信を保護する方法をサポートおよび使用する必要があるということです。メカニズムが何であれ、提供する保護のレベルは、構成コミュニティに受け入れられる必要があります。
3 Information, Policies and Procedures
3情報、ポリシー、手順
In chapter 2 it was mentioned that the policies and procedures of a response team need to be published to their constituent community. In this chapter we will list all the types of information that the community needs to receive from its response team. How this information is communicated to a community will differ from team to team, as will the specific information content. The intent here is to clearly describe the various kinds of information that a constituent community expects from its response team.
第2章では、対応チームのポリシーと手順を構成コミュニティに公開する必要があると述べられました。この章では、コミュニティが対応チームから受け取る必要があるすべてのタイプの情報をリストします。この情報がコミュニティに伝達される方法は、特定の情報コンテンツと同様に、チームごとに異なります。ここでの意図は、構成コミュニティが対応チームに期待するさまざまな種類の情報を明確に説明することです。
To make it easier to understand the issues and topics relevant to the interaction of constituents with "their" CSIRT, we suggest that a CSIRT publish all information, policies, and procedures addressing its constituency as a document, following the template given in Appendix D. The template structure arranges items, making it easy to supply specific information; in Appendix E we provide an example of a filled-out template for the fictitious XYZ University. While no recommendations are made as to what a CSIRT should adopt for its policy or procedures, different possibilities are outlined to give some examples. The most important thing is that a CSIRT have a policy and that those who interact with the CSIRT be able to obtain and understand it.
構成要素と「その」CSIRTとの相互作用に関連する問題とトピックを理解しやすくするために、CSIRTは、その構成要素に対応するすべての情報、ポリシー、および手順を、付録Dに示すテンプレートに従ってドキュメントとして公開することをお勧めします。テンプレート構造はアイテムを配置し、特定の情報を簡単に提供できるようにします。付録Eでは、架空のXYZ大学の記入済みテンプレートの例を示します。 CSIRTがそのポリシーまたは手順に何を採用すべきかについての推奨はありませんが、いくつかの例を示すためにさまざまな可能性が概説されています。最も重要なことは、CSIRTにはポリシーがあり、CSIRTと対話する人はそれを取得して理解できることです。
As always, not every aspect for every environment and/or team can be covered. This outline should be seen as a suggestion. Each team should feel free to include whatever they think is necessary to support its constituency.
いつものように、すべての環境やチームのすべての側面をカバーできるわけではありません。この概要は提案として見なされるべきです。各チームは、その支持者をサポートするために必要だと思うものを自由に含める必要があります。
Details of a CSIRT change with time, so the completed template must indicate when it was last changed. Additionally, information should be provided concerning how to find out about future updates. Without this, it is inevitable that misunderstandings and misconceptions will arise over time; outdated documents can do more harm than good.
CSIRTの詳細は時間とともに変化するため、完成したテンプレートは、最後に変更された日時を示す必要があります。さらに、将来のアップデートについて調べる方法に関する情報を提供する必要があります。これがなければ、時間の経過とともに誤解や誤解が生じることは避けられません。古くなった文書は、害を及ぼすだけではありません。
- Date of last update This should be sufficient to allow anyone interested to evaluate the currency of the template.
- 最終更新日これは、テンプレートの通貨を評価することに関心のある誰もが十分に許可できるはずです。
- Distribution list Mailing lists are a convenient mechanism to distribute up-to-date information to a large number of users. A team can decide to use its own or an already existing list to notify users whenever the document changes. The list might normally be groups the CSIRT has frequent interactions with.
- 配布リストメーリングリストは、最新の情報を多数のユーザーに配布するための便利なメカニズムです。チームは、独自のリストまたは既存のリストを使用して、ドキュメントが変更されるたびにユーザーに通知することを決定できます。リストは通常、CSIRTが頻繁にやり取りするグループです。
Digital signatures should be used for update messages sent by a CSIRT.
デジタル署名は、CSIRTから送信される更新メッセージに使用する必要があります。
- Location of the document The location where a current version of the document is accessible through a team's online information services. Constituents can then easily learn more about the team and check for recent updates. This online version should also be accompanied by a digital signature.
- ドキュメントの場所チームのオンライン情報サービスを通じてドキュメントの現在のバージョンにアクセスできる場所。これで、構成員はチームについて簡単に学び、最近の更新を確認できます。このオンラインバージョンには、デジタル署名も添付する必要があります。
Full details of how to contact the CSIRT should be listed here, although this might be very different for different teams; for example, some might choose not to publicize the names of their team members. No further clarification is given when the meaning of the item can be assumed.
CSIRTへの連絡方法の詳細をここに記載する必要がありますが、チームによって異なる場合があります。たとえば、チームメンバーの名前を公表しないことを選択する人もいます。アイテムの意味を推測できる場合、これ以上の説明はありません。
- Name of the CSIRT
- CSIRTの名前
- Mailing Address
- 送り先
- Time zone This is useful for coordinating incidents which cross time zones.
- タイムゾーンこれは、タイムゾーンをまたぐインシデントを調整するのに役立ちます。
- Telephone number
- 電話番号
- Facsimile number
- ファクシミリ番号
- Other telecommunication Some teams might provide secure voice communication (e.g. STU III).
- その他の通信チームによっては、安全な音声通信を提供する場合があります(STU IIIなど)。
- Electronic mail address
- 電子メールアドレス
- Public keys and encryption The use of specific techniques depends on the ability of the communication partners to have access to programs, keys and so on. Relevant information should be given to enable users to determine if and how they can make use of encrypted communication while interacting with the CSIRT. - Team members
- 公開鍵と暗号化特定の技術の使用は、通信パートナーがプログラムや鍵などにアクセスできるかどうかに依存します。ユーザーがCSIRTとの対話中に暗号化された通信を利用できるかどうか、またどのように利用できるかをユーザーが判断できるように、関連情報を提供する必要があります。 - チームメンバー
- Operating Hours The operating hours and holiday schedule should be provided here. Is there a 24 hour hotline?
- 営業時間営業時間と休日のスケジュールをここに入力する必要があります。 24時間のホットラインはありますか?
- Additional Contact Info Is there any specific customer contact info?
- 追加の連絡先情報特定の顧客の連絡先情報はありますか?
More detailed contact information can be provided. This might include different contacts for different services, or might be a list of online information services. If specific procedures for access to some services exist (for example addresses for mailing list requests), these should be explained here.
より詳細な連絡先情報を提供できます。これには、さまざまなサービスのさまざまな連絡先や、オンライン情報サービスのリストが含まれる場合があります。一部のサービスにアクセスするための特定の手順が存在する場合(メーリングリスト要求のアドレスなど)、これらについてここで説明する必要があります。
Every CSIRT must have a charter which specifies what it is to do, and the authority under which it will do it. The charter should include at least the following items:
すべてのCSIRTには、何をすべきか、およびそれを行う権限を指定する憲章が必要です。憲章には少なくとも以下の項目を含める必要があります。
- Mission statement - Constituency - Sponsorship / affiliation - Authority
- ミッションステートメント-選挙区-スポンサー/所属-当局
The mission statement should focus on the team's core activities, already stated in the definition of a CSIRT. In order to be considered a Computer Security Incident Response Team, the team must support the reporting of incidents and support its constituency by dealing with incidents.
ミッションステートメントは、CSIRTの定義ですでに述べられているチームのコアアクティビティに焦点を当てる必要があります。コンピューターセキュリティインシデント対応チームと見なされるためには、チームはインシデントの報告をサポートし、インシデントに対処することでその支持者をサポートする必要があります。
The goals and purposes of a team are especially important, and require clear, unambiguous definition.
チームの目標と目的は特に重要であり、明確で明確な定義が必要です。
A CSIRT's constituency can be determined in any of several ways. For example it could be a company's employees or its paid subscribers, or it could be defined in terms of a technological focus, such as the users of a particular operating system.
CSIRTのConstituencyは、いくつかの方法で決定できます。たとえば、会社の従業員や有料購読者である場合や、特定のオペレーティングシステムのユーザーなど、技術的な観点から定義される場合があります。
The definition of the constituency should create a perimeter around the group to whom the team will provide service. The policy section of the document (see below) should explain how requests from outside this perimeter will be handled.
選挙区の定義では、チームがサービスを提供するグループの周囲に境界を作成する必要があります。ドキュメントのポリシーセクション(下記を参照)は、この境界の外側からの要求がどのように処理されるかを説明する必要があります。
If a CSIRT decides not to disclose its constituency, it should explain the reasoning behind this decision. For example, for-fee CSIRTs will not list their clients but will declare that they provide a service to a large group of customers that are kept confidential because of the clients' contracts.
CSIRTがConstituencyを開示しないと決定した場合は、この決定の背後にある理由を説明する必要があります。たとえば、無料のCSIRTはクライアントをリストしませんが、クライアントの契約のために機密が保持されている大規模な顧客グループにサービスを提供することを宣言します。
Constituencies might overlap, as when an ISP provides a CSIRT which delivers services to customer sites that also have CSIRTs. The Authority section of the CSIRT's description (see below) should make such relationships clear.
ISPがCSIRTも提供する顧客サイトにサービスを提供するCSIRTを提供する場合など、支持者が重複する可能性があります。 CSIRTの説明のオーソリティセクション(下記を参照)は、そのような関係を明確にする必要があります。
The sponsoring organization, which authorizes the actions of the CSIRT, should be given next. Knowing this will help the users to understand the background and set-up of the CSIRT, and it is vital information for building trust between a constituent and a CSIRT.
CSIRTの行動を承認するスポンサー組織が次に与えられるべきです。これを知ることは、ユーザーがCSIRTの背景と設定を理解するのに役立ちます。これは、構成要素とCSIRTの間の信頼を構築するための重要な情報です。
This section will vary greatly from one CSIRT to another, based on the relationship between the team and its constituency. While an organizational CSIRT will be given its authority by the management of the organization, a community CSIRT will be supported and chosen by the community, usually in a advisory role.
このセクションは、チームとその支持者間の関係に基づいて、CSIRTごとに大きく異なります。組織のCSIRTには組織の管理者から権限が与えられますが、コミュニティのCSIRTはコミュニティによってサポートされ、通常は助言的な役割で選択されます。
A CSIRT may or may not have the authority to intervene in the operation of all of the systems within its perimeter. It should identify the scope of its control as distinct from the perimeter of its constituency. If other CSIRTs operate hierarchically within its perimeter, this should be mentioned here, and the related CSIRTs identified.
CSIRTは、その境界内のすべてのシステムの操作に介入する権限を持つ場合と持たない場合があります。それは、その支配の範囲を、その支持者の境界とは異なるものとして識別すべきである。他のCSIRTがその境界内で階層的に動作する場合は、ここで言及し、関連するCSIRTを特定する必要があります。
Disclosure of a team's authority may expose it to claims of liability. Every team should seek legal advice on these matters. (See section 3.7 for more on liability.)
チームの権限を開示すると、責任を問われる可能性があります。すべてのチームは、これらの問題について法的助言を求める必要があります。 (責任の詳細については、セクション3.7を参照してください。)
It is critical that Incident Response Teams define their policies. The following sections discuss communication of these policies to the constituent community.
インシデント対応チームがポリシーを定義することが重要です。次のセクションでは、これらのポリシーの構成員コミュニティへの伝達について説明します。
The types of incident which the team is able to address, and the level of support which the team will offer when responding to each type of incident, should be summarized here in list form. The Services section (see below) provides the opportunity to give more detailed descriptions, and to address non-incident-related topics.
チームが対処できるインシデントのタイプ、および各タイプのインシデントに対応するときにチームが提供するサポートのレベルを、ここにリスト形式で要約する必要があります。サービスセクション(下記を参照)は、より詳細な説明を提供し、インシデントに関連しないトピックに対処する機会を提供します。
The level of support may change depending on factors such as the team's workload and the completeness of the information available. Such factors should be outlined and their impact should be explained. As a list of known types of incidents will be incomplete with regard to possible or future incidents, a CSIRT should also give some background on the "default" support for incident types not otherwise mentioned.
サポートのレベルは、チームのワークロードや利用可能な情報の完全性などの要因によって変わる場合があります。そのような要因を概説し、それらの影響を説明する必要があります。可能性のある、または将来のインシデントに関して、既知のタイプのインシデントのリストは不完全であるため、CSIRTは、他に言及されていないインシデントタイプの「デフォルト」サポートに関する背景情報も提供する必要があります。
The team should state whether it will act on information it receives about vulnerabilities which create opportunities for future incidents. A commitment to act on such information on behalf of its constituency is regarded as an optional proactive service policy rather than a core service requirement for a CSIRT.
チームは、将来のインシデントの機会を生み出す脆弱性について受け取った情報に基づいて行動するかどうかを述べる必要があります。有権者に代わってそのような情報に基づいて行動するというコミットメントは、CSIRTのコアサービス要件ではなく、オプションの事前対応型サービスポリシーと見なされます。
This section should make explicit which related groups the CSIRT routinely interacts with. Such interactions are not necessarily related to the computer security incident response provided, but are used to facilitate better cooperation on technical topics or services. By no means need details about cooperation agreements be given out; the main objective of this section is to give the constituency a basic understanding of what kind of interactions are established and what their purpose is.
このセクションでは、CSIRTが日常的に操作する関連グループを明示する必要があります。このようなやり取りは、提供されるコンピュータセキュリティインシデントレスポンスに必ずしも関連しているわけではありませんが、技術的なトピックやサービスに関するより良い協力を促進するために使用されます。協力協定の詳細を示す必要は決してありません。このセクションの主な目的は、どのような相互作用が確立され、その目的が何かについて基本的な理解を選挙区に与えることです。
Cooperation between CSIRTs can be facilitated by the use of unique ticket number assignment combined with explicit handoff procedures. This reduces the chance of misunderstandings, duplications of effort, assists in incident tracking and prevents 'loops' in communication.
CSIRT間の連携は、固有のチケット番号割り当てを明示的なハンドオフ手順と組み合わせて使用することで促進できます。これにより、誤解や重複した作業の可能性を減らし、インシデントの追跡を支援し、コミュニケーションの「ループ」を防ぎます。
The reporting and disclosure policy should make clear who will be the recipients of a CSIRT's report in each circumstance. It should also note whether the team will expect to operate through another CSIRT or directly with a member of another constituency over matters specifically concerning that member.
報告と開示のポリシーでは、各状況でCSIRTのレポートの受信者を明確にする必要があります。また、チームが別のCSIRTを介して運用することを期待するのか、別の選挙区のメンバーと直接関係するのか、そのメンバーに特に関係する事項についても注意する必要があります。
Related groups a CSIRT will interact with are listed below:
CSIRTが相互作用する関連グループを以下に示します。
Incident Response Teams: A CSIRT will often need to interact with other CSIRTs. For example a CSIRT within a large company may need to report incidents to a national CSIRT, and a national CSIRT may need to report incidents to national CSIRTs in other countries to deal with all sites involved in a large-scale attack.
インシデント対応チーム:CSIRTは他のCSIRTと対話する必要があることがよくあります。たとえば、大企業内のCSIRTは国のCSIRTにインシデントを報告する必要があり、国のCSIRTは大規模な攻撃に関与するすべてのサイトに対処するために他の国の国内のCSIRTにインシデントを報告する必要がある場合があります。
Collaboration between CSIRTs may lead to disclosure of information. The following are examples of such disclosure, but are not intended to be an exhaustive list:
CSIRT間のコラボレーションは、情報の開示につながる可能性があります。以下はそのような開示の例ですが、完全なリストを意図したものではありません。
- Reporting incidents within the constituency to other teams. If this is done, site-related information may become public knowledge, accessible to everyone, in particular the press.
- 選挙区内の事件を他のチームに報告する。これが行われると、サイト関連の情報は、誰もが、特に報道関係者がアクセスできる公開知識になる可能性があります。
- Handling incidents occurring within the constituency, but reported from outside it (which implies that some information has already been disclosed off-site).
- 選挙区内で発生したが、選挙区外から報告されたインシデントの処理(一部の情報がすでにオフサイトで開示されていることを意味します)。
- Reporting observations from within the constituency indicating suspected or confirmed incidents outside it.
- 有権者の外部からの疑わしいまたは確認されたインシデントを示す有権者の内部からの観察の報告
- Acting on reports of incidents from outside the constituency.
- 選挙区外からの事件の報告に対処する。
- Passing information about vulnerabilities to vendors, to partner CSIRTs or directly to affected sites lying within or outside the constituency.
- 脆弱性に関する情報をベンダー、パートナーのCSIRT、または有権者の内部または外部にある影響を受けるサイトに直接渡す。
- Feedback to parties reporting incidents or vulnerabilities.
- インシデントまたは脆弱性を報告する当事者へのフィードバック。
- The provision of contact information relating to members of the constituency, members of other constituencies, other CSIRTs, or law-enforcement agencies.
- 選挙区のメンバー、他の選挙区のメンバー、他のCSIRT、または法執行機関に関する連絡先情報の提供。
Vendors: Some vendors have their own CSIRTs, but some vendors may not. In such cases a CSIRT will need to work directly with a vendor to suggest improvements or modifications, to analyze the technical problem or to test provided solutions. Vendors play a special role in handling an incident if their products' vulnerabilities are involved in the incident.
ベンダー:一部のベンダーは独自のCSIRTを持っていますが、そうでないベンダーもあります。そのような場合、CSIRTはベンダーと直接連携して、改善や変更を提案したり、技術的な問題を分析したり、提供されたソリューションをテストしたりする必要があります。製品の脆弱性がインシデントに関与している場合、ベンダーはインシデントの処理に特別な役割を果たします。
Law-enforcement agencies: These include the police and other investigative agencies. CSIRTs and users of the template should be sensitive to local laws and regulations, which may vary considerably in different countries. A CSIRT might advise on technical details of attacks or seek advice on the legal implications of an incident. Local laws and regulations may include specific reporting and confidentiality requirements.
法執行機関:警察やその他の捜査機関が含まれます。 CSIRTとテンプレートのユーザーは、各国の法律や規制に敏感である必要があります。 CSIRTは、攻撃の技術的な詳細について助言したり、事件の法的影響について助言を求めたりする場合があります。現地の法律および規制には、特定の報告および機密保持要件が含まれる場合があります。
Press: A CSIRT may be approached by the press for information and comment from time to time.
報道機関:CSIRTは、随時、情報やコメントを求めて報道機関から連絡を受けることがあります。
An explicit policy concerning disclosure to the press can be helpful, particularly in clarifying the expectations of a CSIRT's constituency. The press policy will have to clarify the same topics as above more specifically, as the constituency will usually be very sensitive to press contacts.
報道機関への開示に関する明確なポリシーは、特にCSIRTの支持者の期待を明確にするのに役立ちます。選挙区は通常、報道関係者に非常に敏感であるため、報道方針は上記と同じトピックをより具体的に明確にする必要があります。
Other: This might include research activities or the relation to the sponsoring organization.
その他:これには、研究活動やスポンサー組織との関係が含まれる場合があります。
The default status of any and all security-related information which a team receives will usually be 'confidential,' but rigid adherence to this makes the team to appear to be an informational 'black hole,' which may reduce the likelihood of the team's obtaining cooperation from clients and from other organizations. The CSIRT's template should define what information it will report or disclose, to whom, and when.
チームが受け取るすべてのセキュリティ関連情報のデフォルトのステータスは、通常「機密」ですが、これを厳格に遵守すると、チームが情報の「ブラックホール」であるように見え、チームが取得する可能性が低くなる可能性があります。クライアントや他の組織からの協力。 CSIRTのテンプレートは、CSIRTが報告または開示する情報、誰に、いつ送信するかを定義する必要があります。
Different teams are likely to be subject to different legal restraints requiring or limiting disclosure, especially if they work in different jurisdictions. In addition, they may have reporting requirements imposed by their sponsoring organization. Each team's template should specify any such constraints, both to clarify users' expectations and to inform other teams.
異なるチームは、特に異なる管轄区域で作業している場合は、開示を要求または制限する異なる法的制約を受ける可能性があります。さらに、スポンサー組織から課せられる報告要件がある場合があります。ユーザーの期待を明確にし、他のチームに通知するために、各チームのテンプレートでこのような制約を指定する必要があります。
Conflicts of interest, particularly in commercial matters, may also restrain disclosure by a team; this document does not recommend on how such conflicts should be addressed.
特に商事における利益相反も、チームによる開示を制限する可能性があります。このドキュメントでは、このような競合への対処方法については推奨していません。
A team will normally collect statistics. If statistical information is distributed, the template's reporting and disclosure policy should say so, and should describe how to obtain such statistics.
チームは通常、統計を収集します。統計情報が配布される場合、テンプレートのレポートおよび開示ポリシーはそのように述べ、そのような統計を取得する方法を説明する必要があります。
You must have a policy which describes methods of secure and verifiable communication that you will use. This is necessary for communication between CSIRTs and between a CSIRT and its constituents. The template should include public keys or pointers to them, including key fingerprints, together with guidelines on how to use this information to check authenticity and how to deal with corrupted information (for example where to report this fact).
使用する安全で検証可能な通信の方法を説明するポリシーが必要です。これは、CSIRT間およびCSIRTとその構成要素間の通信に必要です。テンプレートには、公開鍵またはそれらへのポインタ(キーのフィンガープリントを含む)とともに、この情報を使用して信頼性を確認する方法と破損した情報の処理方法(この事実を報告する場所など)に関するガイドラインを含める必要があります。
At the moment it is recommended that as a minimum every CSIRT have (if possible), a PGP key available. A team may also make other mechanisms available (for example PEM, MOSS, S/MIME), according to its needs and the needs of its constituents. Note however, that CSIRTs and users should be sensitive to local laws and regulations. Some countries do not allow strong encryption, or enforce specific policies on the use of encryption technology. In addition to encrypting sensitive information whenever possible, correspondence should include digital signatures. (Please note that in most countries, the protection of authenticity by using digital signatures is not affected by existing encryption regulations.)
現時点では、すべてのCSIRTが(可能な場合)少なくともPGP鍵を使用できるようにすることをお勧めします。チームは、そのニーズとその構成要素のニーズに応じて、他のメカニズム(PEM、MOSS、S / MIMEなど)を使用可能にすることもできます。ただし、CSIRTとユーザーは、現地の法律や規制に敏感である必要があります。一部の国では、強力な暗号化を許可していないか、暗号化技術の使用に関する特定のポリシーを実施しています。機密情報を可能な限り暗号化することに加えて、通信にはデジタル署名を含める必要があります。 (ほとんどの国では、デジタル署名を使用した信頼性の保護は、既存の暗号化規制の影響を受けません。)
For communication via telephone or facsimile a CSIRT may keep secret authentication data for parties with whom they may deal, such as an agreed password or phrase. Obviously, such secret keys must not be published, though their existence may be.
電話またはファクシミリを介した通信の場合、CSIRTは、合意したパスワードやフレーズなど、取引相手の秘密の認証データを保持する場合があります。明らかに、そのような秘密鍵は公開されてはなりませんが、存在する可能性があります。
Services provided by a CSIRT can be roughly divided into two categories: real-time activities directly related to the main task of incident response, and non-real-time proactive activities, supportive of the incident response task. The second category and part of the first category consist of services which are optional in the sense that not all CSIRTs will offer them.
CSIRTが提供するサービスは、インシデントレスポンスのメインタスクに直接関連するリアルタイムアクティビティと、インシデントレスポンスタスクをサポートする非リアルタイムプロアクティブアクティビティの2つのカテゴリに大別できます。 2番目のカテゴリと最初のカテゴリの一部は、すべてのCSIRTが提供するわけではないという意味でオプションのサービスで構成されています。
Incident response usually includes assessing incoming reports about incidents ("Incident Triage") and following up on these with other CSIRTs, ISPs and sites ("Incident Coordination"). A third range of services, helping a local site to recover from an incident ("Incident Resolution"), is comprised of typically optional services, which not all CSIRTs will offer.
インシデント対応には通常、インシデントに関する受信レポートの評価(「インシデントのトリアージ」)と、他のCSIRT、ISP、およびサイト(「インシデント調整」)によるフォローアップが含まれます。ローカルサイトがインシデントから回復するのを支援する3番目の範囲のサービス(「インシデントの解決」)は、通常はオプションのサービスで構成され、すべてのCSIRTが提供するわけではありません。
Incident triage usually includes:
インシデントトリアージには通常、次のものが含まれます。
- Report assessment Interpretion of incoming incident reports, prioritizing them, and relating them to ongoing incidents and trends.
- レポートの評価受信したインシデントレポートの解釈、それらの優先順位付け、および進行中のインシデントと傾向へのそれらの関連付け。
- Verification Help in determining whether an incident has really occurred, and its scope.
- 検証インシデントが実際に発生したかどうか、およびその範囲を判断するのに役立ちます。
Incident Coordination normally includes:
インシデント調整には通常、次のものが含まれます。
- Information categorization Categorization of the incident related information (logfiles, contact information, etc.) with respect to the information disclosure policy.
- 情報の分類情報開示ポリシーに関するインシデント関連情報(ログファイル、連絡先情報など)の分類。
- Coordination Notification of other involved parties on a need-to-know basis, as per the information disclosure policy.
- 情報開示ポリシーに従って、知る必要のある他の関係者への調整通知。
Usually additional or optional, incident resolution services include:
通常、追加またはオプションのインシデント解決サービスには以下が含まれます。
- Technical Assistance This may include analysis of compromised systems.
- 技術支援これには、侵害されたシステムの分析が含まれる場合があります。
- Eradication Elimination of the cause of a security incident (the vulnerability exploited), and its effects (for example, continuing access to the system by an intruder).
- 根絶セキュリティインシデントの原因(悪用された脆弱性)とその影響(侵入者によるシステムへの継続的なアクセスなど)の排除。
- Recovery Aid in restoring affected systems and services to their status before the security incident.
- 影響を受けるシステムとサービスをセキュリティインシデントの前の状態に復元するための復旧支援。
Usually additional or optional, proactive services might include:
通常、追加またはオプションのプロアクティブなサービスには、次のものがあります。
- Information provision This might include an archive of known vulnerabilities, patches or resolutions of past problems, or advisory mailing lists.
- 情報の提供これには、既知の脆弱性のアーカイブ、過去の問題のパッチまたは解決策、またはアドバイザリーメーリングリストが含まれる場合があります。
- Security Tools This may include tools for auditing a Site's security.
- セキュリティツールこれには、サイトのセキュリティを監査するためのツールが含まれる場合があります。
- Education and training
- 教育と訓練
- Product evaluation
- 製品評価
- Site security auditing and consulting
- サイトのセキュリティ監査とコンサルティング
The use of reporting forms makes it simpler for both users and teams to deal with incidents. The constituent can prepare answers to various important questions before he or she actually contacts the team, and can therefore come well prepared. The team gets all the necessary information at once with the first report and can proceed efficiently.
レポートフォームを使用すると、ユーザーとチームの両方がインシデントに対処しやすくなります。有権者は、実際にチームに連絡する前に、さまざまな重要な質問に対する回答を準備できるため、十分に準備できます。チームは最初のレポートで必要なすべての情報を一度に取得し、効率的に進めることができます。
Depending on the objectives and services of a particular CSIRT, multiple forms may be used, for example a reporting form for a new vulnerability may be very different from the form used for reporting incidents.
特定のCSIRTの目的とサービスに応じて、複数のフォームが使用される場合があります。たとえば、新しい脆弱性の報告フォームは、インシデントの報告に使用されるフォームとは非常に異なる場合があります。
It is most efficient to provide forms through the online information services of the team. The exact pointers to them should be given in the CSIRT description document, together with statements about appropriate use, and guidelines for when and how to use the forms. If separate e-mail addresses are supported for form-based reporting, they should be listed here again.
チームのオンライン情報サービスを通じてフォームを提供することが最も効率的です。それらへの正確なポインタは、適切な使用に関する記述、およびフォームをいつどのように使用するかについてのガイドラインとともに、CSIRTの説明ドキュメントに記載する必要があります。フォームベースのレポートで個別の電子メールアドレスがサポートされている場合は、ここに再度リストする必要があります。
One example of such a form is the Incident Reporting Form provided by the CERT Coordination Center:
このようなフォームの一例は、CERTコーディネーションセンターが提供するインシデントレポートフォームです。
- ftp://info.cert.org/incident_reporting_form
- ftp://いんふぉ。せrt。おrg/いんしでんt_れぽrちんg_ふぉrm
Although the CSIRT description document does not constitute a contract, liability may conceivably result from its descriptions of services and purposes. The inclusion of a disclaimer at the end of the template is therefore recommended and should warn the user about possible limitations.
CSIRTの説明ドキュメントは契約を構成するものではありませんが、責任はサービスおよび目的の説明から生じる可能性があります。したがって、テンプレートの最後に免責事項を含めることをお勧めし、可能な制限についてユーザーに警告する必要があります。
In situations where the original version of a document must be translated into another language, the translation should carry a disclaimer and a pointer to the original. For example:
ドキュメントの元のバージョンを別の言語に翻訳する必要がある状況では、翻訳には免責事項と元のドキュメントへのポインタを含める必要があります。例えば:
Although we tried to carefully translate the original document from German into English, we can not be certain that both documents express the same thoughts in the same level of detail and correctness. In all cases, where there is a difference between both versions, the German version will prevail.
元の文書をドイツ語から英語に注意深く翻訳しようとしましたが、両方の文書が同じ考えを同じレベルの詳細と正確さで表現しているとは確信できません。いずれの場合も、両方のバージョンに違いがある場合、ドイツ語バージョンが優先されます。
The use of and protection by disclaimers is affected by local laws and regulations, of which each CSIRT should be aware. If in doubt the CSIRT should check the disclaimer with a lawyer.
免責事項の使用および保護は、各CSIRTが認識しておくべき現地の法律および規制の影響を受けます。疑わしい場合は、CSIRTが免責事項を弁護士に確認する必要があります。
Appendix A: Glossary of Terms
付録A:用語集
This glossary defines terms used in describing security incidents and Computer Security Incident Response Teams. Only a limited list is included. For more definitions please refer to other sources, for example to the Internet User's Glossary [RFC 1983].
この用語集では、セキュリティインシデントとコンピュータセキュリティインシデント対応チームの説明に使用される用語を定義します。限定リストのみが含まれています。その他の定義については、インターネットユーザー用語集[RFC 1983]などの他のソースを参照してください。
Constituency: Implicit in the purpose of a Computer Security Incident Response Team is the existence of a constituency. This is the group of users, sites, networks or organizations served by the team. The team must be recognized by its constituency in order to be effective.
有権者:コンピュータセキュリティインシデントレスポンスチームの目的で暗黙的に存在するのは、有権者の存在です。これは、チームがサービスを提供するユーザー、サイト、ネットワーク、または組織のグループです。チームが効果的であるためには、その支持者によって認識されなければなりません。
Security Incident: For the purpose of this document, this term is a synonym of Computer Security Incident: any adverse event which compromises some aspect of computer or network security.
セキュリティインシデント:このドキュメントでは、この用語はコンピュータセキュリティインシデントの同義語です。コンピュータまたはネットワークのセキュリティの一部の側面を危険にさらすあらゆる有害事象。
The definition of an incident may vary between organizations, but at least the following categories are generally applicable:
インシデントの定義は組織によって異なりますが、少なくとも次のカテゴリが一般的に適用されます。
- Loss of confidentiality of information. - Compromise of integrity of information. - Denial of service. - Misuse of service, systems or information. - Damage to systems.
- 情報の機密性の喪失。 -情報の完全性の侵害。 - サービス拒否。 -サービス、システム、または情報の誤用。 -システムの損傷。
These are very general categories. For instance the replacement of a system utility program by a Trojan Horse is an example of ' compromise of integrity,' and a successful password attack is an example of 'loss of confidentiality.' Attacks, even if they failed because of proper protection, can be regarded as Incidents.
これらは非常に一般的なカテゴリです。たとえば、システムユーティリティプログラムをトロイの木馬で置き換えることは「完全性の侵害」の例であり、成功したパスワード攻撃は「機密性の喪失」の例です。攻撃は、適切な保護のために失敗した場合でも、インシデントと見なすことができます。
Within the definition of an incident the word 'compromised' is used. Sometimes an administrator may only 'suspect' an incident. During the response it must be established whether or not an incident has really occurred.
インシデントの定義内では、「侵害された」という言葉が使用されます。時々、管理者はインシデントを「疑う」だけです。対応中に、事件が実際に発生したかどうかを確認する必要があります。
Computer Security Incident Response Team: Based on two of the definitions given above, a CSIRT is a team that coordinates and supports the response to security incidents that involve sites within a defined constituency.
コンピューターセキュリティインシデント対応チーム:上記の2つの定義に基づいて、CSIRTは、定義された選挙区内のサイトに関連するセキュリティインシデントへの対応を調整およびサポートするチームです。
In order to be considered a CSIRT, a team must:
CSIRTと見なされるためには、チームは次のことを行う必要があります。
- Provide a (secure) channel for receiving reports about suspected incidents.
- 疑わしいインシデントに関するレポートを受け取るための(安全な)チャネルを提供します。
- Provide assistance to members of its constituency in handling these incidents. - Disseminate incident-related information to its constituency and to other involved parties.
- これらの事件を処理する際に、その選挙区のメンバーに支援を提供します。 -インシデントに関連する情報を、その選挙区と他の関係者に広めます。
Note that we are not referring here to police or other law enforcement bodies which may investigate computer-related crime. CSIRT members, indeed, need not have any powers beyond those of ordinary citizens.
ここでは、コンピュータ関連の犯罪を調査する可能性のある警察やその他の法執行機関については言及していません。実際、CSIRTメンバーは、一般市民の権限を超える権限を持っている必要はありません。
Vendor: A 'vendor' is any entity that produces networking or computing technology, and is responsible for the technical content of that technology. Examples of 'technology' include hardware (desktop computers, routers, switches, etc.), and software (operating systems, mail forwarding systems, etc.).
ベンダー:「ベンダー」とは、ネットワーキングまたはコンピューティングテクノロジーを作成するエンティティであり、そのテクノロジーの技術的な内容に責任があります。 「テクノロジー」の例には、ハードウェア(デスクトップコンピューター、ルーター、スイッチなど)、およびソフトウェア(オペレーティングシステム、メール転送システムなど)が含まれます。
Note that the supplier of a technology is not necessarily the ' vendor' of that technology. As an example, an Internet Service Provider (ISP) might supply routers to each of its customers, but the 'vendor' is the manufacturer, since the manufacturer, rather than the ISP, is the entity responsible for the technical content of the router.
テクノロジーのサプライヤーは必ずしもそのテクノロジーの「ベンダー」ではないことに注意してください。例として、インターネットサービスプロバイダー(ISP)は各顧客にルーターを提供しているかもしれませんが、ISPではなく製造業者がルーターの技術的コンテンツを担当するエンティティであるため、「ベンダー」は製造業者です。
Vulnerability: A 'vulnerability' is a characteristic of a piece of technology which can be exploited to perpetrate a security incident. For example, if a program unintentionally allowed ordinary users to execute arbitrary operating system commands in privileged mode, this "feature" would be a vulnerability.
脆弱性:「脆弱性」は、セキュリティインシデントを実行するために悪用される可能性がある技術の特徴です。たとえば、プログラムが一般ユーザーに特権モードで任意のオペレーティングシステムコマンドの実行を意図せずに許可した場合、この「機能」は脆弱性になります。
Appendix B: Related Material
付録B:関連資料
Important issues in responding to security incidents on a site level are contained in [RFC 2196], the Site Security Handbook, produced by the Site Security Handbook Working Group (SSH). This document will be updated by the SSH working group and will give recommendations for local policies and procedures, mainly related to the avoidance of security incidents.
サイトレベルでのセキュリティインシデントへの対応における重要な問題は、サイトセキュリティハンドブックワーキンググループ(SSH)が作成したサイトセキュリティハンドブック[RFC 2196]に含まれています。このドキュメントはSSHワーキンググループによって更新され、主にセキュリティインシデントの回避に関連するローカルのポリシーと手順に関する推奨事項を提供します。
Other documents of interest for the discussion of CSIRTs and their tasks are available by anonymous FTP. A collection can be found on:
CSIRTとそのタスクのディスカッションに関連するその他のドキュメントは、匿名FTPで入手できます。コレクションは次の場所にあります。
- ftp://ftp.cert.dfn.de/pub/docs/csir/ Please refer to file 01-README for further information about the content of this directory.
- ftp://ftp.cert.dfn.de/pub/docs/csir/このディレクトリの内容の詳細については、ファイル01-READMEを参照してください。
Some especially interesting documents in relation to this document are as follows:
このドキュメントに関連して特に興味深いドキュメントは次のとおりです。
- ftp://ftp.nic.surfnet.nl/surfnet/net-security/cert-nl/docs/ reports/R-92-01 This report contains the Operational Framework of CERT-NL, the CSIRT of SURFnet (network provider in the Netherlands).
- ftp://ftp.nic.surfnet.nl/surfnet/net-security/cert-nl/docs/ reports / R-92-01このレポートには、CERT-NLの運用フレームワーク、SURFnetのCSIRT(オランダ)。
- For readers interested in the operation of FIRST (Forum of Incident Response and Security Teams) more information is collected in Appendix C.
- FIRST(インシデント対応およびセキュリティチームのフォーラム)の運用に関心のある読者向けに、付録Cで詳細情報を収集しています。
- http://hightop.nrl.navy.mil/news/incident.html This document leads to the NRL Incident Response Manual.
- http://hightop.nrl.navy.mil/news/incident.htmlこのドキュメントは、NRLインシデント対応マニュアルにつながります。
- http://www.cert.dfn.de/eng/team/kpk/certbib.html This document contains an annotated bibliography of available material, documents and files about the operation of CSIRTs with links to many of the referenced items.
- http://www.cert.dfn.de/eng/team/kpk/certbib.htmlこのドキュメントには、CSIRTの運用に関する利用可能な資料、ドキュメント、およびファイルの注釈付き参考文献と、参照されている多くのアイテムへのリンクが含まれています。
- ftp://info.cert.org/incident_reporting_form This Incident Reporting Form is provided by the CERT Coordination Center to gather incident information and to avoid additional delays caused by the need to request more detailed information from the reporting site.
- ftp://info.cert.org/incident_reporting_formこのインシデント報告フォームは、インシデント情報を収集し、レポートサイトからより詳細な情報を要求する必要が原因で発生する追加の遅延を回避するために、CERTコーディネーションセンターによって提供されます。
- http://www.cert.org/cert.faqintro.html A collection of frequently asked questions from the CERT Coordination Center.
- http://www.cert.org/cert.faqintro.html CERT Coordination Centerからのよくある質問集。
Appendix C: Known Computer Security Incident Response Teams
付録C:既知のコンピューターセキュリティインシデント対応チーム
Today, there are many different CSIRTs but no single source lists every team. Most of the major and long established teams (the first CSIRT was founded in 1988) are nowadays members of FIRST, the worldwide Forum of Incident Response and Security Teams. At the time of writing, more than 55 teams are members (1 in Australia, 13 in Europe, all others in North America). Information about FIRST can be found:
今日、多くの異なるCSIRTがありますが、単一のソースがすべてのチームをリストしているわけではありません。主要で長く確立されたチームのほとんど(最初のCSIRTは1988年に設立されました)は現在、世界的なインシデント対応およびセキュリティチームのフォーラムであるFIRSTのメンバーです。これを書いている時点では、55以上のチームがメンバーです(オーストラリアに1、ヨーロッパに13、その他すべてが北米)。 FIRSTに関する情報は次のとおりです。
- http://www.first.org/
- hっtp://wっw。ふぃrst。おrg/
The current list of members is available also, with the relevant contact information and some additional information provided by the particular teams:
メンバーの現在のリストも利用可能で、関連する連絡先情報と特定のチームによって提供されるいくつかの追加情報が含まれています。
- http://www.first.org/team-info/
- hっtp://wっw。ふぃrst。おrg/てあmーいんふぉ/
For CSIRTs which want to become members of this forum (please note that a team needs a sponsor - a team which is already a full member of FIRST - to be introduced), the following files contain more information:
このフォーラムのメンバーになりたいCSIRTの場合(チームにはスポンサー(すでにFIRSTの完全なメンバーであるチーム)を紹介する必要があることに注意してください)、次のファイルに詳細が含まれています。
- http://www.first.org/about/op_frame.html The Operational Framework of FIRST.
- http://www.first.org/about/op_frame.html FIRSTの運用フレームワーク。
- http://www.first.org/docs/newmem.html Guidelines for teams which want to become members of FIRST.
- http://www.first.org/docs/newmem.html FIRSTのメンバーになりたいチームのためのガイドライン。
Many of the European teams, regardless of whether they are members of FIRST or not, are listed by countries on a page maintained by the German CSIRT:
ヨーロッパのチームの多くは、FIRSTのメンバーかどうかに関係なく、ドイツのCSIRTが管理するページに国別にリストされています。
- http://www.cert.dfn.de/eng/csir/europe/certs.html
- hっtp://wっw。せrt。dfん。で/えんg/cしr/えうろぺ/せrts。html
To learn about existing teams suitable to one's needs it is often helpful to ask either known teams or an Internet Service Provider for the "right" contact.
自分のニーズに合った既存のチームについて知るには、既知のチームまたはインターネットサービスプロバイダーに「適切な」連絡先を尋ねることがしばしば役立ちます。
Appendix D: Outline for CSIRT Template
付録D:CSIRTテンプレートの概要
This outline summarizes in point form the issues addressed in this document, and is the recommended template for a CSIRT description document. Its structure is designed to facilitate the communication of a CSIRT's policies, procedures, and other relevant information to its constituency and to outside organizations such as other CSIRTs. A 'filled-in' example of this template is given as Appendix E.
この概要は、このドキュメントで対処する問題をポイント形式で要約したものであり、CSIRT説明ドキュメントの推奨テンプレートです。その構造は、CSIRTのポリシー、手順、およびその他の関連情報を、そのConstituencyおよび他のCSIRTなどの外部組織に容易に伝達できるように設計されています。このテンプレートの「記入済み」の例を付録Eに示します。
1. Document Information 1.1 Date of Last Update 1.2 Distribution List for Notifications 1.3 Locations where this Document May Be Found
1. ドキュメント情報1.1最終更新日1.2通知の配布リスト1.3このドキュメントが見つかる場所
2. Contact Information 2.1 Name of the Team 2.2 Address 2.3 Time Zone 2.4 Telephone Number 2.5 Facsimile Number 2.6 Other Telecommunication 2.7 Electronic Mail Address 2.8 Public Keys and Encryption Information 2.9 Team Members 2.10 Other Information 2.11 Points of Customer Contact
2. 連絡先情報2.1チームの名前2.2住所2.3タイムゾーン2.4電話番号2.5ファクシミリ番号2.6その他の通信2.7電子メールアドレス2.8公開鍵と暗号化情報2.9チームメンバー2.10その他の情報2.11お客様の連絡先
3. Charter 3.1 Mission Statement 3.2 Constituency 3.3 Sponsorship and/or Affiliation 3.4 Authority
3. 憲章3.1ミッションステートメント3.2選挙区3.3スポンサーおよび/または所属3.4当局
4. Policies 4.1 Types of Incidents and Level of Support 4.2 Co-operation, Interaction and Disclosure of Information 4.3 Communication and Authentication
4. ポリシー4.1インシデントのタイプとサポートのレベル4.2情報の協力、相互作用、開示4.3コミュニケーションと認証
5. Services 5.1 Incident Response 5.1.1. Incident Triage 5.1.2. Incident Coordination 5.1.3. Incident Resolution 5.2 Proactive Activities
5. サービス5.1インシデント対応5.1.1。インシデントトリアージ5.1.2。インシデント調整5.1.3。インシデント解決5.2プロアクティブアクティビティ
6. Incident Reporting Forms
6. インシデントレポートフォーム
7. Disclaimers
7. 免責事項
Appendix E: Example - 'filled-in' Template for a CSIRT
付録E:例-CSIRTの「記入済み」テンプレート
Below is an example of a filled-in template for a fictitious CSIRT called XYZ-CSIRT. This text is for example purposes only, and does not constitute endorsement by the working group or the IETF of any particular set of procedures or policies. While CSIRTs are welcome to use any or all of this text if they wish, such use is of course not mandatory, or even appropriate in most cases.
以下は、XYZ-CSIRTと呼ばれる架空のCSIRTの入力済みテンプレートの例です。このテキストは例示のみを目的としており、ワーキンググループまたはIETFによる特定の一連の手順またはポリシーの推奨を構成するものではありません。 CSIRTは、必要に応じてこのテキストの一部またはすべてを使用できますが、そのような使用はもちろん必須ではなく、ほとんどの場合適切です。
CSIRT Description for XYZ-CERT
-----------------------------
1. About this document
1. このドキュメントについて
1.1 Date of Last Update
1.1 最終更新日
This is version 1.01, published 1997/03/31.
これは1997年3月31日公開のバージョン1.01です。
1.2 Distribution List for Notifications
1.2 通知の配布リスト
Notifications of updates are submitted to our mailing list <xyz-cert-info@xyz-univ.ca>. Subscription requests for this list should be sent to the Majordomo at <xyz-cert-info-request@xyz-univ.ca>; the body of the message should consist of the word "subscribe". Send the word "help" instead if you don't know how to use a Majordomo list manager. This mailing list is moderated.
更新の通知は、メーリングリスト<xyz-cert-info@xyz-univ.ca>に送信されます。このリストのサブスクリプション要求は、<xyz-cert-info-request@xyz-univ.ca>のMajordomoに送信する必要があります。メッセージの本文は、「subscribe」という単語で構成する必要があります。 Majordomoリストマネージャの使用方法がわからない場合は、代わりに「ヘルプ」という単語を送信してください。このメーリングリストはモデレートされます。
1.3 Locations where this Document May Be Found
1.3 このドキュメントが見つかる場所
The current version of this CSIRT description document is available from the XYZ-CERT WWW site; its URL is http://www.xyz-univ.ca/xyz-cert/english/CSIRT-descr.txt Une version francaise de ce document est igalement disponible: http://www.xyz-univ.ca/xyz-cert/francais/CSIRT-descr.txt Please make sure you are using the latest version.
このCSIRT記述ドキュメントの現在のバージョンは、XYZ-CERT WWWサイトから入手できます。 URLはhttp://www.xyz-univ.ca/xyz-cert/english/CSIRT-descr.txt Une version francaise de ce document est igalement disponible:http://www.xyz-univ.ca/xyz- cert / francais / CSIRT-descr.txt最新バージョンを使用していることを確認してください。
1.4 Authenticating this Document
1.4 このドキュメントの認証
Both the English and French versions of this document have
been signed with the XYZ-CERT's PGP key. The signatures are
also on our Web site, under:
http://www.xyz-univ.ca/xyz-cert/english/CSIRT-descr.asc
http://www.xyz-univ.ca/xyz-cert/francais/CSIRT-descr.asc
2. Contact Information
2. 連絡先
2.1 Name of the Team
2.1 チームの名前
"XYZ-CERT": the XYZ University Computer Emergency Response Team.
「XYZ-CERT」:XYZ大学コンピュータ緊急対応チーム。
2.2 Address
2.2 住所
XYZ-CERT XYZ University, Computing Services Department 12345 Rue Principale UniversityTown, Quebec Canada H0H 0H0
XYZ-CERT XYZ University、Computing Services Department 12345 Rue Principale UniversityTown、Quebec Canada H0H 0H0
2.3 Time Zone
2.3 タイムゾーン
Canada/Eastern (GMT-0500, and GMT-0400 from April to October)
カナダ/東部(GMT-0500、およびGMT-0400、4月から10月)
2.4 Telephone Number
2.4 電話番号
+1 234 567 7890 (ask for the XYZ-CERT)
+1 234 567 7890(XYZ-CERTに問い合わせてください)
2.5 Facsimile Number
2.5 ファクシミリ番号
+1 234 567 7899 (this is *not* a secure fax)
2.6 Other Telecommunication
2.6 その他の通信
None available.
なし。
2.7 Electronic Mail Address
2.7 電子メールアドレス
<xyz-cert@xyz-univ.ca> This is a mail alias that relays mail to the human(s) on duty for the XYZ-CERT.
<xyz-cert@xyz-univ.ca>これは、XYZ-CERTの担当者にメールを中継するメールエイリアスです。
2.8 Public Keys and Other Encryption Information
2.8 公開鍵とその他の暗号化情報
The XYZ-CERT has a PGP key, whose KeyID is 12345678 and
whose fingerprint is
11 22 33 44 55 66 77 88 88 77 66 55 44 33 22 11.
The key and its signatures can be found at the usual large
public keyservers.
Because PGP is still a relatively new technology at XYZ University, this key still has relatively few signatures; efforts are underway to increase the number of links to this key in the PGP "web of trust". In the meantime, since most fellow universities in Quebec have at least one staff member who knows the XYZ-CERT coordinator Zoe Doe, Zoe Doe has signed the XYZ-CERT key, and will be happy to confirm its fingerprint and that of her own key to those people who know her, by telephone or in person.
PGPはXYZ大学ではまだ比較的新しい技術であるため、このキーにはまだ比較的少数の署名しかありません。 PGPの「web of trust」でこの鍵へのリンクの数を増やすための取り組みが進行中です。一方、ケベック州のほとんどの大学には、XYZ-CERTコーディネーターのZoe Doeを知っているスタッフが少なくとも1人いるため、Zoe DoeはXYZ-CERTキーに署名し、そのフィンガープリントと自分のキーのフィンガープリントを確認します電話または直接会って、彼女を知っている人に。
2.9 Team Members
2.9 チームメンバー
Zoe Doe of Computing Services is the XYZ-CERT coordinator. Backup coordinators and other team members, along with their areas of expertise and contact information, are listed in the XYZ-CERT web pages, at http://www.xyz-univ.ca/xyz-cert/teamlist.html
コンピューティングサービスのZoe Doeは、XYZ-CERTコーディネーターです。バックアップコーディネーターと他のチームメンバーは、専門分野と連絡先情報とともに、XYZ-CERT Webページ(http://www.xyz-univ.ca/xyz-cert/teamlist.html)にリストされています。
Management, liaison and supervision are provided by Steve Tree, Assistant Director (Technical Services), Computing Services.
管理、連絡、監督は、コンピューティングサービスのアシスタントディレクター(テクニカルサービス)、スティーブツリーが提供します。
2.10 Other Information
2.10 その他の情報
General information about the XYZ-CERT, as well as links to
various recommended security resources, can be found at
http://www.xyz-univ.ca/xyz-cert/index.html
2.11 Points of Customer Contact
2.11 お問い合わせ先
The preferred method for contacting the XYZ-CERT is via e-mail at <xyz-cert@xyz-univ.ca>; e-mail sent to this address will "biff" the responsible human, or be automatically forwarded to the appropriate backup person, immediately. If you require urgent assistance, put "urgent" in your subject line.
XYZ-CERTに連絡するための推奨される方法は、<xyz-cert@xyz-univ.ca>に電子メールを送信することです。このアドレスに送信された電子メールは、責任のある人間に "biff"するか、適切なバックアップ担当者に自動的に転送されます。緊急の支援が必要な場合は、件名に「緊急」と入力してください。
If it is not possible (or not advisable for security reasons) to use e-mail, the XYZ-CERT can be reached by telephone during regular office hours. Telephone messages are checked less often than e-mail.
電子メールを使用できない(またはセキュリティ上の理由からお勧めできない)場合は、通常の営業時間中に電話でXYZ-CERTに連絡できます。電話メッセージは電子メールほど頻繁にチェックされません。
The XYZ-CERT's hours of operation are generally restricted to regular business hours (09:00-17:00 Monday to Friday except holidays).
XYZ-CERTの営業時間は通常、通常の営業時間に制限されています(休日を除く月曜から金曜の09:00-17:00)。
If possible, when submitting your report, use the form mentioned in section 6.
可能であれば、レポートを送信するときに、セクション6に記載されているフォームを使用してください。
3. Charter
3. チャーター
3.1 Mission Statement
3.1 ミッションステートメント
The purpose of the XYZ-CERT is, first, to assist members of XYZ University community in implementing proactive measures to reduce the risks of computer security incidents, and second, to assist XYZ community in responding to such incidents when they occur.
XYZ-CERTの目的は、第1に、XYZ大学コミュニティのメンバーがコンピュータセキュリティインシデントのリスクを軽減する事前対策を実施するのを支援し、第2に、XYZコミュニティがそのようなインシデントが発生したときに対応するのを支援することです。
3.2 Constituency
3.2 選挙区
The XYZ-CERT's constituency is the XYZ University community, as defined in the context of the "XYZ University Policy on Computing Facilities". This policy is available at http://www-compserv.xyz-univ.ca/policies/pcf.html
「コンピューティング設備に関するXYZ大学のポリシー」の文脈で定義されているように、XYZ-CERTの支持者はXYZ大学コミュニティです。このポリシーは、http://www-compserv.xyz-univ.ca/policies/pcf.htmlで入手できます。
However, please note that, notwithtanding the above, XYZ-CERT services will be provided for on-site systems only.
ただし、上記に加えて、XYZ-CERTサービスはオンサイトシステムに対してのみ提供されることに注意してください。
3.3 Sponsorship and/or Affiliation
3.3 スポンサーシップおよび/または所属
The XYZ-CERT is sponsored by the ACME Canadian Research Network. It maintains affiliations with various University CSIRTs throughout Canada and the USA on an as needed basis.
XYZ-CERTは、ACMEカナダ研究ネットワークによって後援されています。必要に応じて、カナダと米国のさまざまな大学のCSIRTとの提携を維持しています。
3.4 Authority
3.4 権限
The XYZ-CERT operates under the auspices of, and with authority delegated by, the Department of Computing Services of XYZ University. For further information on the mandate and authority of the Department of Computing Services, please refer to the XYZ University "Policy on Computing Facilities", available at http://www-compserv.xyz-univ.ca/policies/pcf.html
XYZ-CERTは、XYZ大学のコンピューティングサービス学科の後援および委任された権限の下で運営されています。コンピューティングサービス部門の権限と権限の詳細については、http://www-compserv.xyz-univ.ca/policies/pcf.htmlにあるXYZ大学の「コンピューティング設備に関するポリシー」を参照してください。
The XYZ-CERT expects to work cooperatively with system administrators and users at XYZ University, and, insofar as possible, to avoid authoritarian relationships. However, should circumstances warrant it, the XYZ-CERT will appeal to Computing Services to exert its authority, direct or indirect, as necessary. All members of the XYZ-CERT are members of the CCSA (Committee of Computer Systems Administrators), and have all of the powers and responsibilities assigned to Systems Administrators by the Policy on Computing Facilities, or are members of University management.
XYZ-CERTは、XYZ大学のシステム管理者およびユーザーと協力して作業し、できる限り権威主義的な関係を回避することを期待しています。ただし、状況に応じて、XYZ-CERTは、必要に応じて、コンピューティングサービスに直接または間接的に権限を行使するよう要請します。 XYZ-CERTのすべてのメンバーは、CCSA(コンピューターシステム管理者委員会)のメンバーであり、コンピューティング設備に関するポリシーによってシステム管理者に割り当てられたすべての権限と責任を持っているか、大学の管理者です。
Members of the XYZ University community who wish to appeal the actions of the XYZ-CERT should contact the Assistant Director (Technical Services), Computing Services. If this recourse is not satisfactory, the matter may be referred to the Director of Computing Services (in the case of perceived problems with existing policy), or to the XYZ University Office of Rights and Responsibilities (in the case of perceived errors in the application of existing policy).
XYZ-CERTのアクションに異議を申し立てたいXYZ大学コミュニティのメンバーは、アシスタントディレクター(テクニカルサービス)のコンピューティングサービスに連絡する必要があります。このリソースに満足できない場合、問題はコンピューティングサービス担当ディレクター(既存のポリシーに問題があると認められた場合)、またはXYZ大学の権利と責任のオフィス(アプリケーションでエラーが認められた場合)に問い合わせることがあります。既存のポリシーの)。
4. Policies
4. ポリシー
4.1 Types of Incidents and Level of Support
4.1 インシデントの種類とサポートのレベル
The XYZ-CERT is authorized to address all types of computer security incidents which occur, or threaten to occur, at XYZ University.
XYZ-CERTは、XYZ大学で発生する、または発生すると脅迫されるあらゆる種類のコンピュータセキュリティインシデントに対処する権限を与えられています。
The level of support given by XYZ-CERT will vary depending on the type and severity of the incident or issue, the type of constituent, the size of the user community affected, and the XYZ-CERT's resources at the time, though in all cases some response will be made within one working day. Resources will be assigned according to the following priorities, listed in decreasing order:
XYZ-CERTが提供するサポートのレベルは、インシデントまたは問題の種類と重大度、構成要素の種類、影響を受けるユーザーコミュニティのサイズ、およびその時点でのXYZ-CERTのリソースによって異なりますが、すべての場合において1営業日以内に対応いたします。リソースは、次の優先順位に従って割り当てられ、降順でリストされます。
- Threats to the physical safety of human beings. - Root or system-level attacks on any Management Information System, or any part of the backbone network infrastructure. - Root or system-level attacks on any large public service machine, either multi-user or dedicated-purpose. - Compromise of restricted confidential service accounts or software installations, in particular those used for MIS applications containing confidential data, or those used for system administration. - Denial of service attacks on any of the above three items. - Any of the above at other sites, originating from XYZ University. - Large-scale attacks of any kind, e.g. sniffing attacks, IRC "social engineering" attacks, password cracking attacks. - Threats, harassment, and other criminal offenses involving individual user accounts. - Compromise of individual user accounts on multi-user systems. - Compromise of desktop systems. - Forgery and misrepresentation, and other security-related violations of local rules and regulations, e.g. netnews and e-mail forgery, unauthorized use of IRC bots.
- 人間の身体の安全に対する脅威。 -管理情報システム、またはバックボーンネットワークインフラストラクチャの一部に対するルートまたはシステムレベルの攻撃。 -マルチユーザーまたは専用の大規模公共サービスマシンに対するルートまたはシステムレベルの攻撃。 -制限された機密サービスアカウントまたはソフトウェアインストールの侵害、特に機密データを含むMISアプリケーションに使用されるもの、またはシステム管理に使用されるもの。 -上記の3つの項目のいずれかに対するサービス拒否攻撃。 -上記のいずれかは、XYZ大学を起点とする他のサイトにあります。 -あらゆる種類の大規模攻撃(例:スニッフィング攻撃、IRC「ソーシャルエンジニアリング」攻撃、パスワードクラッキング攻撃。 -個々のユーザーアカウントに関連する脅威、嫌がらせ、およびその他の犯罪。 -マルチユーザーシステムでの個々のユーザーアカウントの侵害。 -デスクトップシステムの侵害。 -偽造や不実表示、およびその他の地域の規則や規制に対するセキュリティ関連の違反。ネットニュースや電子メールの偽造、IRCボットの不正使用。
- Denial of service on individual user accounts, e.g. mailbombing.
- 個々のユーザーアカウントのサービス拒否(例:爆撃。
Types of incidents other than those mentioned above will be prioritized according to their apparent severity and extent.
上記以外のインシデントの種類は、その重大度と程度に応じて優先順位が付けられます。
Note that no direct support will be given to end users; they are expected to contact their system administrator, network administrator, or department head for assistance. The XYZ-CERT will support the latter people.
エンドユーザーには直接のサポートは提供されないことに注意してください。システム管理者、ネットワーク管理者、または部門長に連絡して支援を求められます。 XYZ-CERTは後者の人々をサポートします。
While the XYZ-CERT understands that there exists great variation in the level of system administrator expertise at XYZ University, and while the XYZ-CERT will endeavor to present information and assistance at a level appropriate to each person, the XYZ-CERT cannot train system administrators on the fly, and it cannot perform system maintenance on their behalf. In most cases, the XYZ-CERT will provide pointers to the information needed to implement appropriate measures.
XYZ-CERTはXYZ大学のシステム管理者の専門知識のレベルに大きなばらつきがあることを理解していますが、XYZ-CERTは各個人に適切なレベルで情報と支援を提示するよう努めますが、XYZ-CERTはシステムをトレーニングできません管理者はその場でシステムを管理できません。ほとんどの場合、XYZ-CERTは適切な手段を実装するために必要な情報へのポインタを提供します。
The XYZ-CERT is committed to keeping the XYZ University system administration community informed of potential vulnerabilities, and where possible, will inform this community of such vulnerabilities before they are actively exploited.
XYZ-CERTは、XYZユニバーシティのシステム管理コミュニティに潜在的な脆弱性の情報を提供し続けることを約束し、可能な場合は、このコミュニティに積極的に悪用される前にそのような脆弱性を通知します。
4.2 Co-operation, Interaction and Disclosure of Information
4.2 情報の協力、相互作用および開示
While there are legal and ethical restrictions on the flow of information from XYZ-CERT, many of which are also outlined in the XYZ University Policy on Computing Facilities, and all of which will be respected, the XYZ-CERT acknowledges its indebtedness to, and declares its intention to contribute to, the spirit of cooperation that created the Internet. Therefore, while appropriate measures will be taken to protect the identity of members of our constituency and members of neighbouring sites where necessary, the XYZ-CERT will otherwise share information freely when this will assist others in resolving or preventing security incidents.
XYZ-CERTからの情報の流れには法的および倫理的な制限がありますが、その多くはXYZ大学のコンピューティング設備に関するポリシーにも記載されており、そのすべてが尊重されますが、XYZ-CERTは、インターネットを作成した協力の精神に貢献する意図を宣言します。したがって、必要に応じて、選挙区のメンバーと近隣サイトのメンバーの身元を保護するために適切な措置が講じられますが、XYZ-CERTは、セキュリティインシデントの解決または防止に役立つ他の方法で情報を自由に共有します。
In the paragraphs below, "affected parties" refers to the legitimate owners, operators, and users of the relevant computing facilities. It does not refer to unauthorized users, including otherwise authorized users making unauthorized use of a facility; such intruders may have no expectation of confidentiality from the XYZ-CERT. They may or may not have legal rights to confidentiality; such rights will of course be respected where they exist.
以下の段落で、「影響を受ける当事者」とは、関連するコンピューティング施設の正当な所有者、オペレーター、およびユーザーを指します。権限のないユーザーが施設を不正に使用することを含む、権限のないユーザーを指すものではありません。そのような侵入者は、XYZ-CERTからの機密性を期待できません。彼らは秘密保持の法的権利を持っている場合も持っていない場合もあります。もちろん、そのような権利はそれらが存在する場所で尊重されます。
Information being considered for release will be classified as follows:
リリースが検討されている情報は、次のように分類されます。
- Private user information is information about particular users, or in some cases, particular applications, which must be considered confidential for legal, contractual, and/or ethical reasons.
- 個人ユーザー情報とは、特定のユーザー、場合によっては特定のアプリケーションに関する情報であり、法的、契約的、および/または倫理的な理由から機密情報と見なす必要があります。
Private user information will be not be released in identifiable form outside the XYZ-CERT, except as provided for below. If the identity of the user is disguised, then the information can be released freely (for example to show a sample .cshrc file as modified by an intruder, or to demonstrate a particular social engineering attack).
以下に規定されている場合を除き、個人ユーザー情報はXYZ-CERTの外部で識別可能な形式で公開されません。ユーザーのIDが偽装されている場合は、情報を自由に公開できます(たとえば、侵入者によって変更された.cshrcファイルのサンプルを表示したり、特定のソーシャルエンジニアリング攻撃を示したりするため)。
- Intruder information is similar to private user information, but concerns intruders.
- 侵入者情報は個人ユーザー情報に似ていますが、侵入者に関係します。
While intruder information, and in particular identifying information, will not be released to the public (unless it becomes a matter of public record, for example because criminal charges have been laid), it will be exchanged freely with system administrators and CSIRTs tracking an incident.
侵入者の情報、特に識別情報は一般に公開されませんが(たとえば、刑事責任が課せられたために公的記録の問題にならない限り)、インシデントを追跡しているシステム管理者およびCSIRTと自由に交換されます。
- Private site information is technical information about particular systems or sites.
- プライベートサイト情報は、特定のシステムまたはサイトに関する技術情報です。
It will not be released without the permission of the site in question, except as provided for below.
以下の場合を除き、当該サイトの許可なく公開することはありません。
- Vulnerability information is technical information about vulnerabilities or attacks, including fixes and workarounds.
- 脆弱性情報は、修正や回避策を含む、脆弱性または攻撃に関する技術情報です。
Vulnerability information will be released freely, though every effort will be made to inform the relevant vendor before the general public is informed.
脆弱性情報は自由に公開されますが、一般の人々に通知する前に、関連するベンダーに通知するためにあらゆる努力が払われます。
- Embarrassing information includes the statement that an incident has occurred, and information about its extent or severity. Embarrassing information may concern a site or a particular user or group of users.
- 恥ずかしい情報には、インシデントが発生したという声明、およびその範囲または重大度に関する情報が含まれます。恥ずかしい情報は、サイトまたは特定のユーザーまたはユーザーのグループに関係する場合があります。
Embarrassing information will not be released without the permission of the site or users in question, except as provided for below.
以下に規定されている場合を除き、当サイトまたは当該ユーザーの許可なく、恥ずかしい情報が公開されることはありません。
- Statistical information is embarrassing information with the identifying information stripped off.
- 統計情報は、識別情報を取り除いた恥ずかしい情報です。
Statistical information will be released at the discretion of the Computing Services Department.
統計情報は、コンピューティングサービス部門の裁量で発表されます。
- Contact information explains how to reach system administrators and CSIRTs.
- 連絡先情報は、システム管理者とCSIRTに連絡する方法を説明しています。
Contact information will be released freely, except where the contact person or entity has requested that this not be the case, or where XYZ-CERT has reason to believe that the dissemination of this information would not be appreciated.
連絡先情報は、連絡先担当者またはエンティティがこれに該当しないことを要求した場合、またはXYZ-CERTがこの情報の普及が認められないと信じる理由がある場合を除き、自由に公開されます。
Potential recipients of information from the XYZ-CERT will be classified as follows:
XYZ-CERTからの情報の潜在的な受信者は、次のように分類されます。
- Because of the nature of their responsibilities and consequent expectations of confidentiality, members of XYZ University management are entitled to receive whatever information is necessary to facilitate the handling of computer security incidents which occur in their jurisdictions.
- XYZユニバーシティの管理者は、その責任の性質とその結果としての機密性の期待により、管轄区域で発生するコンピューターセキュリティインシデントの処理を容易にするために必要な情報を受け取る権利を有します。
- Members of the Office of Rights and Responsibilities are entitled to receive whatever information they request concerning a computer security incident or related matter which has been referred to them for resolution. The same is true for the XYZ Security Department, when its assistance in an investigation has been enlisted, or when the investigation has been instigated at its request.
- Office of Rights and Responsibilitiesのメンバーは、コンピューターのセキュリティインシデントまたは解決のために参照された関連事項に関して要求する情報を受け取る権利があります。同じことがXYZのセキュリティ部門にも当てはまります。調査への支援が要請された場合、または調査の要請に応じて調査が開始された場合です。
- System administrators at XYZ University who are members of the CCSA are also, by virtue of their responsibilities, trusted with confidential information. However, unless such people are also members of XYZ-CERT, they will be given only that confidential information which they must have in order to assist with an investigation, or in order to secure their own systems.
- CCSAのメンバーであるXYZ大学のシステム管理者も、その責任のおかげで機密情報を信頼されています。ただし、そのような人々がXYZ-CERTのメンバーでもない限り、調査を支援するため、または独自のシステムを保護するために必要な機密情報のみが提供されます。
- Users at XYZ University are entitled to information which pertains to the security of their own computer accounts, even if this means revealing "intruder information", or "embarrassing information" about another user. For example, if account aaaa is cracked and the intruder attacks account bbbb, user bbbb is entitled to know that aaaa was cracked, and how the attack on the bbbb account was executed. User bbbb is also entitled, if she or he requests it, to information about account aaaa which might enable bbbb to investigate the attack. For example, if bbbb was attacked by someone remotely connected to aaaa, bbbb should be told the provenance of the connections to aaaa, even though this information would ordinarily be considered private to aaaa. Users at XYZ University are entitled to be notified if their account is believed to have been compromised.
-XYZ大学のユーザーは、自分のコンピューターアカウントのセキュリティに関する情報を受け取ることができます。これは、他のユーザーに関する「侵入者の情報」や「恥ずかしい情報」を明らかにすることを意味します。たとえば、アカウントaaaaがクラックされ、侵入者がアカウントbbbbを攻撃した場合、ユーザーbbbbは、aaaaがクラックされたこと、およびbbbbアカウントへの攻撃がどのように実行されたかを知ることができます。また、ユーザーbbbbは、要求があれば、bbbbが攻撃を調査できるようにするアカウントaaaaに関する情報を取得できます。たとえば、bbbbがaaaaにリモート接続されている誰かによって攻撃された場合、この情報は通常aaaaにプライベートであると見なされますが、bbbbはaaaaへの接続の来歴を知らされる必要があります。 XYZ Universityのユーザーは、自分のアカウントが侵害されたと思われる場合に通知を受けることができます。
- The XYZ University community will receive no restricted information, except where the affected parties have given permission for the information to be disseminated. Statistical information may be made available to the general XYZ community. There is no obligation on the part of the XYZ-CERT to report incidents to the community, though it may choose to do so; in particular, it is likely that the XYZ-CERT will inform all affected parties of the ways in which they were affected, or will encourage the affected site to do so.
- XYZユニバーシティコミュニティは、影響を受ける関係者が情報の配布を許可した場合を除き、制限された情報を受け取りません。統計情報は、一般的なXYZコミュニティに提供される場合があります。 XYZ-CERTがコミュニティにインシデントを報告する義務はありませんが、そうすることもできます。特に、XYZ-CERTは、影響を受けたすべての関係者に、影響を受けた方法を通知するか、影響を受けるサイトに通知するように促す可能性があります。
- The public at large will receive no restricted information. In fact, no particular effort will be made to communicate with the public at large, though the XYZ-CERT recognizes that, for all intents and purposes, information made available to the XYZ University community is in effect made available to the community at large, and will tailor the information in consequence.
- 一般の人々は制限された情報を受け取りません。実際、XYZ-CERTは、すべての意図と目的のために、XYZ大学のコミュニティが利用できる情報は、事実上、コミュニティ全体が利用できるようになっていることを認識していますが、一般の人々とコミュニケーションを取るための特別な努力はしません。結果として情報を調整します。
- The computer security community will be treated the same way the general public is treated. While members of XYZ-CERT may participate in discussions within the computer security community, such as newsgroups, mailing lists (including the full-disclosure list "bugtraq"), and conferences, they will treat such forums as though they were the public at large. While technical issues (including vulnerabilities) may be discussed to any level of detail, any examples taken from XYZ-CERT experience will be disguised to avoid identifying the affected parties.
- コンピュータセキュリティコミュニティは、一般の人々と同じように扱われます。 XYZ-CERTのメンバーは、ニュースグループ、メーリングリスト(完全開示リスト「bugtraq」を含む)、会議などのコンピューターセキュリティコミュニティ内のディスカッションに参加できますが、そのようなフォーラムは一般の人々と同様に扱われます。 。技術的な問題(脆弱性を含む)はあらゆるレベルで議論される可能性がありますが、XYZ-CERTの経験から得られた例は、影響を受ける関係者の特定を避けるために偽装されます。
- The press will also be considered as part of the general public. The XYZ-CERT will not interact directly with the Press concerning computer security incidents, except to point them toward information already released to the general public. If necessary, information will be provided to the XYZ University Public Relations Department, and to the Customer Relations group of the Computing Services Department. All incident-related queries will be referred to these two bodies. The above does not affect the ability of members of XYZ-CERT to grant interviews on general computer security topics; in fact, they are encouraged to do to, as a public service to the community.
-報道機関も一般市民の一部と見なされます。 XYZ-CERTは、コンピュータのセキュリティインシデントに関して報道機関と直接やり取りすることはありませんが、すでに一般に公開されている情報を紹介する場合を除きます。必要に応じて、XYZ大学の広報部、およびコンピューティングサービス部のカスタマリレーションズグループに情報が提供されます。すべてのインシデント関連のクエリは、これらの2つの組織を参照します。上記は、XYZ-CERTのメンバーが一般的なコンピューターセキュリティトピックに関するインタビューを許可する能力に影響を与えません。実際、彼らはコミュニティへの公共サービスとして、そうするよう奨励されています。
- Other sites and CSIRTs, when they are partners in the investigation of a computer security incident, will in some cases be trusted with confidential information. This will happen only if the foreign site's bona fide can be verified, and the information transmitted will be limited to that which is likely to be helpful in resolving the incident. Such information sharing is most likely to happen in the case of sites well known to XYZ-CERT (for example, several other Quebec universities have informal but well-established working relationships with XYZ University in such matters).
- 他のサイトやCSIRTは、コンピューターのセキュリティインシデントの調査のパートナーである場合、機密情報で信頼される場合があります。これは、外国のサイトの善意が確認された場合にのみ発生し、送信される情報は、事件の解決に役立つ可能性が高い情報に限定されます。このような情報の共有は、XYZ-CERTでよく知られているサイトの場合に発生する可能性が最も高くなります(たとえば、他のいくつかのケベック大学では、このような問題でXYZ大学と非公式ですが確立された協力関係があります)。
For the purposes of resolving a security incident, otherwise semi-private but relatively harmless user information such as the provenance of connections to user accounts will not be considered highly sensitive, and can be transmitted to a foreign site without excessive precautions. "Intruder information" will be transmitted freely to other system administrators and CSIRTs. "Embarrassing information" can be transmitted when there is reasonable assurance that it will remain confidential, and when it is necessary to resolve an incident.
セキュリティインシデントを解決するために、ユーザーアカウントへの接続の出所など、半個人的ではあるが比較的無害なユーザー情報は機密性が高いとは見なされず、過度の予防策なしに外部サイトに送信される可能性があります。 「侵入者情報」は、他のシステム管理者やCSIRTに自由に送信されます。 「恥ずかしい情報」は、機密を保持することが合理的に保証され、インシデントを解決する必要がある場合に送信できます。
- Vendors will be considered as foreign CSIRTs for most intents and purposes. The XYZ-CERT wishes to encourage vendors of all kinds of networking and computer equipment, software, and services to improve the security of their products. In aid of this, a vulnerability discovered in such a product will be reported to its vendor, along with all technical details needed to identify and fix the problem. Identifying details will not be given to the vendor without the permission of the affected parties.
- ベンダーは、ほとんどの目的と目的で外国のCSIRTと見なされます。 XYZ-CERTは、あらゆる種類のネットワーキングおよびコンピューター機器、ソフトウェア、サービスのベンダーに製品のセキュリティを向上させることを奨励したいと考えています。これを支援するために、そのような製品で発見された脆弱性は、問題を特定して修正するために必要なすべての技術的詳細とともにベンダーに報告されます。影響を受ける当事者の許可なしに、識別の詳細はベンダーに提供されません。
- Law enforcement officers will receive full cooperation from the XYZ-CERT, including any information they require to pursue an investigation, in accordance with the Policy on Computing Facilities.
- 法執行官は、XYZ-CERTから、調査のために必要な情報を含め、コンピューティング設備に関するポリシーに従って、完全な協力を得ます。
4.3 Communication and Authentication
4.3 通信と認証
In view of the types of information that the XYZ-CERT will likely be dealing with, telephones will be considered sufficiently secure to be used even unencrypted. Unencrypted e-mail will not be considered particularly secure, but will be sufficient for the transmission of low-sensitivity data. If it is necessary to send highly sensitive data by e-mail, PGP will be used. Network file transfers will be considered to be similar to e-mail for these purposes: sensitive data should be encrypted for transmission.
XYZ-CERTが処理する可能性のある情報のタイプを考慮すると、電話は暗号化されていない場合でも使用できるように十分に安全であると見なされます。暗号化されていない電子メールは特に安全とは見なされませんが、機密性の低いデータの送信には十分です。機密性の高いデータを電子メールで送信する必要がある場合は、PGPが使用されます。これらの目的では、ネットワークファイル転送は電子メールに類似していると見なされます。機密データは送信用に暗号化する必要があります。
Where it is necessary to establish trust, for example before relying on information given to the XYZ-CERT, or before disclosing confidential information, the identity and bona fide of the other party will be ascertained to a reasonable degree of trust. Within XYZ University, and with known neighbor sites, referrals from known trusted people will suffice to identify someone. Otherwise, appropriate methods will be used, such as a search of FIRST members, the use of WHOIS and other Internet registration information, etc, along with telephone call-back or e-mail mail-back to ensure that the party is not an impostor. Incoming e-mail whose data must be trusted will be checked with the originator personally, or by means of digital signatures (PGP in particular is supported).
信頼を確立する必要がある場合、たとえばXYZ-CERTに提供された情報に依存する前、または機密情報を開示する前に、相手の身元と善意が妥当な信頼度で確認されます。 XYZ大学内、および既知の隣接サイトでは、信頼できる既知の人々からの紹介で誰かを特定するだけで十分です。それ以外の場合は、FIRSTメンバーの検索、WHOISやその他のインターネット登録情報の使用などの適切な方法を使用し、電話での折り返しまたはメールでの返信により、当事者が詐欺師でないことを確認します。 。データを信頼する必要がある受信メールは、発信者に個人的に、またはデジタル署名(特にPGPがサポートされています)を使用して確認されます。
5. Services
5. サービス
5.1 Incident Response
5.1 インシデント対応
XYZ-CERT will assist system administrators in handling the technical and organizational aspects of incidents. In particular, it will provide assistance or advice with respect to the following aspects of incident management:
XYZ-CERTは、システム管理者がインシデントの技術的側面と組織的側面を処理するのを支援します。特に、インシデント管理の次の側面に関して支援またはアドバイスを提供します。
5.1.1 Incident Triage
5.1.1 インシデントトリアージ
- Investigating whether indeed an incident occured. - Determining the extent of the incident.
- 実際にインシデントが発生したかどうかを調査します。 -インシデントの範囲を決定します。
5.1.2 Incident Coordination
5.1.2 インシデントコーディネーション
- Determining the initial cause of the incident (vulnerability exploited). - Facilitating contact with other sites which may be involved. - Facilitating contact with XYZ University Security and/or appropriate law enforcement officials, if necessary. - Making reports to other CSIRTs. - Composing announcements to users, if applicable.
- インシデントの初期原因を特定する(脆弱性が悪用される)。 -関与している可能性のある他のサイトとの連絡を容易にする。 -必要に応じて、XYZユニバーシティセキュリティや適切な法執行機関との連絡を円滑にする。 -他のCSIRTに報告する。 -該当する場合、ユーザーへのアナウンスの作成。
5.1.3 Incident Resolution
5.1.3 インシデントの解決
- Removing the vulnerability. - Securing the system from the effects of the incident. - Evaluating whether certain actions are likely to reap results in proportion to their cost and risk, in particular those actions aimed at an eventual prosecution or disciplinary action: collection of evidence after the fact, observation of an incident in progress, setting traps for intruders, etc. - Collecting evidence where criminal prosecution, or University disciplinary action, is contemplated.
- 脆弱性を取り除く。 -インシデントの影響からシステムを保護する。 -特定のアクションがコストとリスクに比例して結果を得る可能性があるかどうかの評価、特に最終的な起訴または懲戒処分を目的とするアクション:事後の証拠の収集、進行中の事件の観察、侵入者のトラップの設定、等-刑事訴追または大学の懲戒処分が企図されている証拠の収集。
In addition, XYZ-CERT will collect statistics concerning incidents which occur within or involve the XYZ University community, and will notify the community as necessary to assist it in protecting against known attacks.
さらに、XYZ-CERTは、XYZユニバーシティコミュニティ内で発生した、またはXYZユニバーシティコミュニティに関係するインシデントに関する統計を収集し、必要に応じてコミュニティに通知して、既知の攻撃からの保護を支援します。
To make use of XYZ-CERT's incident response services, please send e-mail as per section 2.11 above. Please remember that the amount of assistance available will vary according to the parameters described in section 4.1.
XYZ-CERTのインシデント対応サービスを利用するには、上記のセクション2.11に従って電子メールを送信してください。利用可能な支援の量は、セクション4.1で説明されているパラメータによって異なることに注意してください。
5.2 Proactive Activities
5.2 積極的な活動
The XYZ-CERT coordinates and maintains the following services to the extent possible depending on its resources: - Information services - List of departmental security contacts, administrative and technical. These lists will be available to the general public, via commonly-available channels such as the World Wide Web and/or the Domain Name Service. - Mailing lists to inform security contacts of new information relevant to their computing environments. These lists will be available only to XYZ University system administrators. - Repository of vendor-provided and other security-related patches for various operating systems. This repository will be available to the general public wherever license restrictions allow it, and will be provided via commonly-available channels such as the World Wide Web and/or ftp. - Repository of security tools and documentation for use by sysadmins. Where possible, precompiled ready-to-install versions will be supplied. These will be supplied to the general public via www or ftp as above.
XYZ-CERTは、リソースに応じて次のサービスを可能な限り調整および維持します。-情報サービス-部門のセキュリティ連絡先のリスト、管理上および技術上。これらのリストは、World Wide Webやドメインネームサービスなどの一般的に利用可能なチャネルを介して、一般に公開されます。 -コンピューティング環境に関連する新しい情報をセキュリティ担当者に通知するためのメーリングリスト。これらのリストは、XYZユニバーシティのシステム管理者のみが使用できます。 -さまざまなオペレーティングシステム用のベンダー提供およびその他のセキュリティ関連パッチのリポジトリ。このリポジトリは、ライセンス制限で許可されている場所であれば一般に公開され、World Wide Webやftpなどの一般に利用可能なチャネルを介して提供されます。 -sysadminsが使用するセキュリティツールとドキュメントのリポジトリ。可能な場合は、コンパイル済みのすぐにインストールできるバージョンが提供されます。これらは、上記のようにwwwまたはftp経由で一般に提供されます。
- "Clipping" service for various existing resources, such as major mailing lists and newsgroups. The resulting clippings will be made available either on the restricted mailing list or on the web site, depending on their sensitivity and urgency. - Training services - Members of the XYZ-CERT will give periodic seminars on computer security related topics; these seminars will be open to XYZ University system administrators. - Auditing services - Central file integrity checking service for Unix machines, and for any other platforms capable of running "tripwire". - Security level assignments; machines and subnetworks at XYZ University will be audited and assigned a security level. This security level information will be available to the XYZ University community, to facilitate the setting of appropriate access privileges. However, details of the security analyses will be confidential, and available only to the concerned parties. - Archiving services - Central logging service for machines capable of Unix-style remote logging. Incoming log entries will be watched by an automated log analysis program, and events or trends indicative of a potential security problem will be reported to the affected system administrators. - Records of security incidents handled will be kept. While the records will remain confidential, periodic statistical reports will be made available to the XYZ University community.
-主要なメーリングリストやニュースグループなど、さまざまな既存のリソースに対する「クリッピング」サービス。結果の切り抜きは、機密性と緊急性に応じて、制限付きメーリングリストまたはWebサイトで利用できるようになります。 -トレーニングサービス-XYZ-CERTのメンバーは、コンピュータセキュリティ関連のトピックに関するセミナーを定期的に開催します。これらのセミナーは、XYZユニバーシティのシステム管理者に公開されます。 -監査サービス-Unixマシン、および「tripwire」を実行できるその他のプラットフォーム用の中央ファイル整合性チェックサービス。 -セキュリティレベルの割り当て。 XYZ Universityのマシンとサブネットワークが監査され、セキュリティレベルが割り当てられます。このセキュリティレベル情報は、適切なアクセス権限の設定を容易にするために、XYZ大学のコミュニティで利用できます。ただし、セキュリティ分析の詳細は機密情報であり、関係者のみが利用できます。 -アーカイブサービス-Unixスタイルのリモートロギングが可能なマシン用の中央ロギングサービス。受信ログエントリは自動ログ分析プログラムによって監視され、潜在的なセキュリティ問題を示すイベントまたは傾向が影響を受けるシステム管理者に報告されます。 -処理されたセキュリティインシデントの記録が保持されます。記録は機密のままですが、XYZ Universityコミュニティは定期的な統計レポートを利用できます。
Detailed descriptions of the above services, along with instructions for joining mailing lists, downloading information, or participating in certain services such as the central logging and file integrity checking services, are available on the XYZ-CERT web site, as per section 2.10 above.
上記のサービスの詳細な説明と、メーリングリストへの参加、情報のダウンロード、または中央ロギングやファイル整合性チェックサービスなどの特定のサービスへの参加に関する説明は、上記のセクション2.10に従って、XYZ-CERT Webサイトで入手できます。
6. Incident Reporting Forms
6. インシデントレポートフォーム
There are no local forms developed yet for reporting incidents to XYZ-CERT. If possible, please make use of the Incident Reporting Form of the CERT Coordination Center (Pittsburgh, PA). The current version is available from: ftp://info.cert.org/incident_reporting_form
インシデントをXYZ-CERTに報告するためのローカルフォームはまだ開発されていません。可能であれば、CERTコーディネーションセンター(ペンシルバニア州ピッツバーグ)のインシデントレポートフォームを利用してください。現在のバージョンは、ftp://info.cert.org/incident_reporting_formから入手できます。
7. Disclaimers
7. 免責事項
While every precaution will be taken in the preparation of information, notifications and alerts, XYZ-CERT assumes no responsibility for errors or omissions, or for damages resulting from the use of the information contained within.
情報、通知、アラートの準備にはあらゆる予防策が講じられますが、XYZ-CERTは、エラーや脱落、またはその中に含まれる情報の使用に起因する損害について責任を負いません。
4 Acknowlegdements
4謝辞
The editors gratefully acknowledge the contributed material and editorial scrutiny of Anne Bennett. Thanks also to Don Stikvoort for assistance reworking the description of Incident Response Team services.
編集者は、Anne Bennettの寄稿資料および編集の精査に深く感謝します。インシデントレスポンスチームサービスの説明の書き直しを支援してくれたDon Stikvoortにも感謝します。
5 References
5参照
[RFC 2196] Fraser, B., "Site Security Handbook", FYI 8, RFC 2196, September 1997.
[RFC 2196] Fraser、B。、「Site Security Handbook」、FYI 8、RFC 2196、1997年9月。
[RFC 1983] Malkin, G., "Internet Users' Glossary", FYI 18, RFC 1983, August 1996.
[RFC 1983] Malkin、G。、「Internet Users 'Glossary」、FYI 18、RFC 1983、1996年8月。
6 Security Considerations
6セキュリティに関する考慮事項
This document discusses the operation of Computer Security Incident Response Teams, and the teams' interactions with their constituencies and with other organizations. It is, therefore, not directly concerned with the security of protocols, applications, or network systems themselves. It is not even concerned with particular responses and reactions to security incidents, but only with the appropriate description of the responses provided by CSIRTs.
このドキュメントでは、コンピュータセキュリティインシデントレスポンスチームの運用と、チームの有権者や他の組織との相互作用について説明します。したがって、プロトコル、アプリケーション、またはネットワークシステム自体のセキュリティには直接関係しません。これは、セキュリティインシデントに対する特定の対応や対応については関係ありませんが、CSIRTによって提供される対応の適切な説明についてのみ関係しています。
Nonetheless, it is vital that the CSIRTs themselves operate securely, which means that they must establish secure communication channels with other teams, and with members of their constituency. They must also secure their own systems and infrastructure, to protect the interests of their constituency and to maintain the confidentiality of the identity of victims and reporters of security incidents.
それでも、CSIRT自体が安全に動作することが重要です。つまり、CSIRTは、他のチームやConstituencyのメンバーとの安全な通信チャネルを確立する必要があります。彼らはまた、選挙区の利益を保護し、被害者とセキュリティインシデントの報告者の身元の機密を保持するために、独自のシステムとインフラストラクチャを保護する必要があります。
7 Authors' Addresses
7作者のアドレス
Nevil Brownlee ITSS Technology Development The University of Auckland
Nevil Brownlee ITSS技術開発オークランド大学
Phone: +64 9 373 7599 x8941
EMail: n.brownlee@auckland.ac.nz
Erik Guttman Sun Microsystems, Inc. Bahnstr. 2 74915 Waibstadt Germany
Erik Guttman Sun Microsystems、Inc. Bahnstr。 2 74915ワイプシュタットドイツ
Phone: +49 7263 911484
EMail: Erik.Guttman@sun.com
8 Full Copyright Statement
8完全な著作権表示
Copyright (C) The Internet Society (1998). All Rights Reserved.
Copyright(C)The Internet Society(1998)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
このドキュメントとその翻訳はコピーして他のユーザーに提供することができ、コメントまたはその他の方法で説明したり、その実装を支援する二次的著作物は、いかなる種類の制限なしに、全体または一部を準備、コピー、公開、および配布することができますただし、上記の著作権表示とこの段落は、そのようなすべてのコピーと派生物に含まれています。ただし、このドキュメント自体は、著作権に関する通知を削除したり、インターネットソサエティや他のインターネット組織への参照を削除したりするなど、いかなる方法でも変更できません。ただし、インターネット標準を開発する目的で必要な場合は除きます。インターネット標準のプロセスに従うか、または必要に応じて、それを英語以外の言語に翻訳する必要があります。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記で付与された制限付きのアクセス許可は永続的であり、インターネットソサエティまたはその後継者または譲受人によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は「現状有姿」で提供され、インターネット社会およびインターネット技術タスクフォースは、明示または黙示を問わず、ここに記載されている情報の使用が保証するものに限定されないいかなる保証も含め、一切の保証を否認します。商品性または特定の目的への適合性に関する権利または黙示の保証を侵害すること。