警察のサイバー警報に関連するバイトの声明

2022年6月14日


"Police CyberAlarm "は、会員が悪質なサイバー活動を把握・監視するための無料ツールです。 このサービスは、監視と脆弱性スキャンの2つの部分から構成されています。 Police CyberAlarmは、会員のインターネットへの接続によって見られるトラフィックを監視する「CCTVカメラ」のような役割を果たします。 悪質と思われる行為を検知して定期的に報告し、組織の脆弱性を最小化することができます。 本システムが収集するデータには、トラフィックの内容は一切含まれません。 本システムは、個人データ、企業秘密、知的財産を保護するように設計されています。" https://www.cyberalarm.police.uk/ より許可を得て転載

Police CyberAlarmシステムは、独立したセキュリティ研究者によって認識されたセキュリティ上の欠陥の公表の対象になっています。 この公表を受けて、Corporation of the City of London(ロンドン市警の警察当局として活動)は、公表された発見を調査するために、独立したセキュリティ会社としてBytes Software Services Limited(以下「Bytes」)にサービスを依頼しました。 本ステートメントにより、City of London公社(ロンドン市警察の警察当局として活動)は、これに関して取られたアプローチと対応を確認し、Police CyberAlarmシステムのセキュリティに関して提起される可能性のある懸念に対処することができます。

Bytesのポートフォリオには、情報および技術セキュリティ監査とアドバイザリーサービスが含まれています。 これには、リスク管理、侵入テスト、デジタルフォレンジック、脅威インテリジェンス、調査およびインシデント管理サービスが含まれますが、これらに限定されるものではありません。 Bytesのデジタルフォレンジック、脅威インテリジェンス、およびインシデント管理(DFIM)チームは、独立系セキュリティ研究者の発見に関する調査を実施しました。 この調査は、関係者へのインタビュー、独立系セキュリティ報告書のレビュー、独立系テストモデルの作成で構成されています。 すべての活動は、DFIMチームが独立した対応を取れるようにするために行われた。

DFIMチームの発見は次の通りである。

  • システム内に存在するセキュリティ研究者による信頼できる発見があった。 しかし、これらのリスクは主張されているよりも低かった。 この結果は、大学の暗号専門家を含む3つの独立したセキュリティ会社によって検証された。 DFIMチームによって特定された低いリスクは、セキュリティ研究者がコレクターから見ることもテストすることもできなかった追加のセキュリティコントロールとバックエンドセキュリティ対策に起因することが判明した。 追加のコンテキストが利用できなければ、これらのリスクは常に高く見えるだろう。
  • セキュリティ研究者は、ソリューションのセキュリティを強化することができる領域を強調した。 DFIM チームは、ソリューションのセキュリティをさらに強化する機会があり、将来の脆弱性から保護するためにこれらを講じる必要がある一方で、基本的なソリューションは本質的に安全でないことに同意します。 実装または実装の推奨は、ソリューションをレビューする際のレンズに基づいている。 決定事項を理解するためには、このことを認識することが重要です。
  • 提起された理論的およびその他の機会は、業界で受け入れられているグッドプラクティスにさらに合致するよう評価されました。 現時点では、これらの分野に固有の弱点はありませんでしたが、業界で認められたグッドプラクティスにさらに合致させることで、ソリューションが市場での厳しい精査に耐えられるようになります。
Police CyberAlarmツールのセキュリティテストと独立したレビューの年表は、現在のビルドバージョンのみに関連するもので、この種の製品の期待に沿ったもので、以下の通りである。

  • 2021年2月 - CHECK / CREST認証企業がコードとオンサイトコレクターをテスト。
  • 2021年11月 - CHECK / CREST認定企業がコードとオンサイトコレクタをテストしました。
  • 2022年3月 / 5月 - Bytes DFIMチームがセキュリティ研究者の発見を独自にレビューしました。
  • 2022年4月 - CHECK/CREST認証企業が、セキュリティ研究者の発見を以前のコードとオンサイトコレクターのテスト報告書と照らし合わせてレビューしました。
  • 2022年5月 - NCSC / CREST認定企業が、ソフトウェア開発者によって実装された推奨修正プログラムをテストし、パッチの変更を検証。
  • 2022年5月 - Bytes DFIMチームがNCSC / CREST認定企業からのセキュリティレポートを確認し、最新のシステムパッチで実施したテストがBytes調査レポート内の発見事項に対処していると結論付けました。
ソフトウェアやソリューションには常に脆弱性や改善の余地があり、これは今日のコードの本質です。 これは、技術の複雑さと変化の速さ、そして脅威者の能力が常に向上していることに基づいて予想されることです。 ソリューションプロバイダの観点からは、ソフトウェアやソリューションの攻撃対象領域に対するあらゆる攻撃ベクトルの信憑性や有効性を低減し、対処が必要な発見があった場合にベンダが対応する「深層防護モデル」が重要です。

結論として、セキュリティ研究者によって発見された問題を軽減するソリューションには、深層防護の多くの側面が存在するというのがBytesの見解です。 システムを危険にさらすような機会はなく、また、実現可能な追加的な不当リスクが存在すると考える理由もありませんでした。 しかし、Bytesは、発見された問題のいくつかを利用して、サービスのセキュリティ体制を改善し、業界で認められたグッドプラクティスに沿うように、ソリューションにセキュリティの追加層を追加することができることに同意しています。 これらはPolicy CyberAlarmチームによって受理され、ソフトウェアパッチが作成されました。 このパッチは、Bytesの勧告に照らして独自にテスト・検証されており、Police CyberAlarmチームによって間もなく導入される予定です。 さらにBytesは、Police CyberAlarmチームが、攻撃対象領域を縮小することで適切に対応し、調査および修復作業を行い、メンバーの安心を得たと調査中に結論付けています。 Bytesは、これを責任ある断固とした行動と認識しています。 Bytesの意見では、多くのベンダーがこのようなアプローチをサポートしていないため、これは称賛に値するものです。

Police CyberAlarm チームは、独立したセキュリティ研究コミュニティによる精査を歓迎しています。 同チームは、すべての関係者に対して、責任ある開示方針(Responsible Disclosure Policy)を定めており、この方針はhttps://cyberalarm.police.uk/responsible-disclosure/に掲載されていることをお知らせします。

Bytes Disclaimer: この声明は、Police CyberAlarm の文脈に限定され、独立したセキュリティ研究者によって 2022 年 3 月に特定された潜在的な脆弱性に関連する場合のみ記載されています。 この範囲外のものは考慮されておらず、この声明からシステム全体が安全である、またはBytesチームによってレビューされていると推測されることはありません。 このステートメントのいかなる内容も、推奨とみなされるべきものではありません。

Bytesソフトウェアサービス株式会社
Bytes House,
ランダルズウェイ
レザーヘッド
サリー州
KT22 7TW
Legal@bytes.co.uk
+44 (0) 1372 418500