セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 技術や仕組み security.txt による脆弱性情報連携

security.txt による脆弱性情報連携

security.txt による脆弱性情報連携
目次
  • security.txt とは
  • security.txt の効果
  • security.txt を導入する際の注意点

皆さんは利用しているサービスに脆弱性を見つけたらどうするでしょうか?このような第三者によるセキュリティ報告の仕組みとして、本日は「security.txt」を紹介します。

security.txt とは

security.txt はセキュリティに関する情報を連携するために標準化されたテキストファイルです。 このファイルをWebサイト上の所定のパスに配置することで、脆弱性等を発見した第三者からサイト管理者への情報提供が容易になります。security.txt は以下のように記載されます。

このファイルをWebサイトの /.well-known/security.txt に配置することで、連絡先等に関する情報を宣言できます。

# #から始まる列はコメントを表します

# 連絡先情報
# セキュリティについての連絡先を記載します
Contact: mailto:security@example.com
Contact: tel:+123456789
Contact: https://example.com/contact-security.html

# 暗号通信のための PGP 鍵
# 報告者がレポートを暗号化するのに使用します。
Encryption: https://example.com/pgp-key.txt

# セキュリティ公開のポリシー
Policy: https://example.com/security-policy.html

# 謝辞
# 通常、報告済みのセキュリティ情報とその報告者等を記載します
Acknowledgments: https://example.com/acknowledgments

# 受け付け言語の優先度
Preferred-Languages: en, ja

# 有効期限
# 必須項目です。1年以内が推奨されます。
Expires: 2024-01-01

security.txt の効果

security.txt を設置する効果としては以下が挙げられます。

  • セキュリティ調査と報告を受けやすくなる
  • セキュリティに対する前向きな姿勢を示すことができる

セキュリティ調査と報告を受けやすくなる

security.txt にセキュリティ報告ポリシーや連絡先、報奨金情報などを掲載することで、 ホワイトハッカーは情報漏洩や脆弱性情報等の問題を素早く報告することができます。これはホワイトハッカーコミュニティとの良好な関係構築にも役立ちます。このような報奨金制度を運用する際にはバグバウンティプラットフォームの利用も有効ですが、サイト自体に security.txt を設置することでプラットフォームを経由しないホワイトハッカーからも情報を受け取れる可能性が向上します。

セキュリティに対する前向きな姿勢を示すことができる

security.txt を設置し、そのセキュリティ報告ポリシーを公開することは、セキュリティに対する組織の姿勢が前向きであることを表明できます。 脆弱性があっても隠蔽する組織より、積極的に報告を受けて改善に取り組む組織の方が信頼されることでしょう。security.txt の設置だけではWebサイトの脆弱性は無くなりませんが、その姿勢により組織の信頼性向上につながると言えます。

security.txt を導入する際の注意点

security.txt を導入する際の注意事項を紹介します。

  • 報告窓口に対するスパム
  • security.txt の継続的な保守
  • 基本的なセキュリティ対策

報告窓口に対するスパム

security.txt には連絡窓口を掲載する必要があり、この窓口に大量のスパムメールが届く場合があります。この問題の軽減策としてはスパムフィルタが挙げられますが、他にも「バグバウンティ プラットフォームを利用する」方法もあります。 バグバウンティ プラットフォーム を利用することで、セキュリティ報告以外の連絡をプラットフォーム側で選別することができます。

security.txt の継続的な保守

また、security.txt は継続的に保守する必要があります。security.txt が実際の報告先やポリシー、報奨金等と乖離がある場合、ホワイトハッカーコミュニティとの良好な関係が築けません。 security.txt には必ず有効期限を記載する必要があるため、積極的に短い有効期限(1年以内)を設定し、 定期的にポリシーを更新することが推奨されます。

基本的なセキュリティ対策

最後に一番重要なこととして、security.txtを設置する際には必ず基本的なセキュリティ対策を施すことです。security.txt を設置したからと言って、脆弱性が勝手に修正される訳ではありません。security.txt が改ざんされるようでは目も当てられません。脆弱性診断などで脆弱性の洗い出しと対策をしたうえで、より高度な攻撃への備えとしてバグバウンティを活用することが重要です。

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号(工学博士)を取得。2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。2018年よりSHIFT SECURITY 執行役員に就任。現在に至る。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ