セキュリティ キーパーソン(全3回)
担当者が"1人で悩まなくてすむ"情報共有の場を提供
インターネット関連のビジネスを展開している企業だけでなく、今やあらゆる企業にとって「情報セキュリティインシデント」(情報セキュリティ上の重大な事故、もしくはそれにつながる恐れのある事案)に備えることは、リスク管理の一環として重要な課題となっている。近年の企業や政府関連組織に対する「標的型攻撃」や、「DDoS攻撃」の例もあるが、現在ではあらゆる企業がサイバー攻撃の対象となったり、また意図しないうちに攻撃の一端を担わされたりといったケースが、日々発生している。
こうした事案に対する情報の収集や対応は、当事者となっている企業だけでは難しいケースが多い。そのため、企業の枠を超え、必要な情報を共有し、対応を組織的に行っていこうという取り組みも、さまざまな場所で行われている。日本コンピュータセキュリティインシデント対応チーム協議会(日本CSIRT協議会)も、そうした取り組みのひとつだ。
今回、同協議会で運営委員長を務める村上晃氏と、協議会の加盟社であるSCSKで、ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課のマネージャーを務める手柴雄矢氏に、設立の経緯や現在の活動内容についてお話を伺った。
企業の枠を超えた情報共有を目指す「日本CSIRT協議会」
村上: まず、CSIRT(シーサート)という言葉が、耳慣れないものかもしれませんので説明をします。CSIRTは「Computer Security Incident Response Team」の略称です。CSIRTは、もともとコンピュータセキュリティインシデント、つまりセキュリティ上の重大な事故や、それにつながりかねない潜在的な事案に対処するための組織のことを指しています。
CSIRTでは、インシデント関連情報、脆弱性情報、攻撃の予兆に関する情報などを収集、分析し、対応方針を策定するといった活動を主に行います。CSIRT、もしくはCSIRT的な役割を果たす組織は、コンピュータシステムの運用にかかわる企業の多くに存在しています。
それぞれのCSIRTの目的や成り立ち、組織内での位置づけや活動範囲などは、異なっています。そのような理由で、各CSIRTは、それぞれの企業の中で個別に活動を行っていたのですが、そうした形での対応に限界が見えてきたのです。
近年のセキュリティインシデントは、1社のインシデントが他社に影響を与えたり、お客様に影響があったりといったケースが増えてきました。こうしたケースに対応するためには、1社だけでの取り組みでは難しい状況になってきたのです。また、知り得た情報を公開、共有しようにも、1社の中だけでは、その情報をうまく取り扱えないといった問題もありました。
そこで、目的の違いや立場の違いがあるCSIRT同士をうまく連携させ、それぞれの問題や課題、今後新しく出てくるであろう脅威について、情報共有や連携をする組織の必要性が高まり、2007年に日本CSIRT協議会が発足しました。
発足時は6社でしたが、現在(2013年2月現在)では33のチームに加盟していただいています。SCSKさんの「SCSK CSIRT」も、2012年に加盟されています。
デリケートな情報は「顔」が見えるからこそ共有できる
協議会では、具体的にどのような活動を行っているのでしょうか。
村上: まず「ワーキンググループ(WG)」と呼ばれる、勉強会的なワークショップを開催しています。
活動中の主なWGとしては、組織内で活動するCSIRTの構築や運用における課題を洗い出してディスカッションしていくシーサートWGのサブWGである「シーサート課題検討SWG」や「シーサート構築推奨SWG」、CSIRT間でコンピュータセキュリティインシデントに関する脅威情報を共有していく「脅威情報共有WG」、国内の各CSIRTの目的、組織内での立場、権限、人員、予算といった背景情報を整理して共有するための「CSIRT FACT SHEET WG」、実際にインシデントが発生した時の技術的な対応方法などを学んでいく「インシデント対応技術調査WG」、インシデント情報をどのような手順で共有、交換、公開して活用していくべきかのフレームワークを検討する「インシデント情報活用フレームワーク検討WG」などがあります。
成果物にはどんなものがあるのでしょうか。
村上: サイト上にまとめているのですが、CSIRTを構築する上での注意点や課題、定義すべき事項についてまとめた「CSIRTスタータキット」やCSIRTの説明を簡潔にまとめた「What's CSIRT?」、また、一昨年には、Gumblarウイルスに関する詳細な情報や対応方法を報告書としてまとめるということをやっています。また、会員チームのご協力のもとで、海外の有識者を招聘してCSIRTワークショップ(勉強会)を実施した実績があります。
組織を超えたセキュリティ情報の共有に関心が高まる
SCSKが、CSIRT協議会に加盟された経緯について教えてください。
日本コンピュータセキュリティ
インシデント対応チーム協議会
(日本シーサート協議会)
運営委員長
村上 晃氏
手柴: 先ほど村上様のお話にもあったとおり、セキュリティの運用監視をサービスとして提供している中で、インシデントや脅威に対する情報共有が、自社だけでは十分に行えなくなってきているという問題意識はありました。また、セキュリティに関する関心が社会的に高まる中で、サービスを受けるお客様からも、われわれに対し、情報収集の広さや深さを高めてほしいというご要望が出るようになってきていました。
そこで、他社や、そこに属するCSIRTではどのような取り組みが行われているのかについて調べていく中で、日本CSIRT協議会という組織があることを知り、加盟をさせていただいたという経緯になります。
協議会の方では、近年のセキュリティインシデントの動向の変化などから、CSIRTに対する関心が高まっているような印象は受けていますか?
村上: そうですね。近年では、「標的型攻撃」のような手法が登場したことをきっかけに、内閣官房情報セキュリティセンターから、対策のための情報共有の枠組みを整備していくことの必要性に触れたレポートが出されました。その中で、インシデント対応を行うCSIRTという存在が認知され、そうしたCSIRT間での情報共有や連携を目的として組織された協議会に対する関心も同時に高まっているように感じています。
また、新規に加盟されるCSIRTの中には、より世界的な規模での情報共有を目的に、日本CSIRT協議会に加えて、CSIRTのグローバル組織である「FIRST(Forum for Incident Response and Security Teams)」への参加を視野に入れていらっしゃるところも増えてきました。さまざまなコミュニティに参加しての情報収集が、インシデント対応に必要であるという認識も強くなってきていると思います。
セキュリティ企業とユーザー企業との間の関係ですと、契約をベースに対価を支払って情報交換という形が通常ですが、協議会におけるCSIRT間の関係は、それとは違い、メンバー同士の信頼感、個人的なつながりの中で情報がやりとりされます。企業同士のつながり、人と人とのつながりをうまく連携させることにより、従来とはまた違ったチャネルでそれぞれに必要な情報が流れていくのではないかという考えで、活動を進めています。
手柴: 国際的な展開に関連してお伺いしたいのですが、以前のWGのときに、国際的なレギュレーションのやり取りについての話題がありました。協議会では、日本からCSIRTの国際的な連携を組織的に働きかけるということもやっているのでしょうか。
村上: JPCERT/CCが加盟していることもあり、必要な場合には、そこからJPCERTを通じて、国際的に連携できるような枠組みは用意していますね。
手柴: 海外に支店を持っている日本企業の場合には、そうした手段を持っていることが非常に重要なんです。ただ、海外では日本と法律やルールも異なっています。そのあたりのギャップを、現実的に加盟社のみなさんは、どう埋めていらっしゃるのでしょう。
村上: 例えば「海外のサイトからDDoS攻撃を受けている」というような場合に、対応の方法はいくつかありますね。ひとつは、先ほど述べたようにJPCERTを通じて、連絡をしてもらう形です。また、国際組織であるFIRSTのメンバーであれば、その中で対応方法を模索するという対応も可能です。協議会のメンバーには、積極的にFIRSTのカンファレンスや地域ごとのワーキングに参加して、個人的にFIRSTメンバーとの親交を深めている方もいらっしゃいます。
手柴: そうしたつながりがないと、なかなか有用な情報を入手したり、対応を依頼してもらうことは難しいですよね。
村上: そうですね。いきなり海外に個別の企業や個人が連絡して対応を依頼したとしても、先方の反応が芳しくないというケースはあるでしょう。国によって法律が違ったり、文化的に違いがあったりということもあると思いますが、結局は連絡してきた相手が「信頼できる」か、そこからもたらされた「情報が正しいか」という部分をいかに担保するかという部分が一番重要なのではないでしょうか。
「対応を依頼するメールにPGPの署名をつける」といったことも、もちろん大切なのですが、別の視点で、組織や個人間の信頼といったものをうまく活用していくことも、セキュリティインシデントの対応には必要になってきているのだろうと思います。
今すぐ社内に「CSIRT」を作ろう
SCSKさんは、セキュリティビジネスを展開する企業として協議会に加盟されているわけですが、WG会などに参加してみて、感じたことはありますか。
SCSK株式会社
ITマネジメント第一事業本部
セキュリティソリューション部
Webセキュリティソリューション課
マネージャー 手柴 雄矢
手柴: 実際にセキュリティオペレーションを行うエンジニアの立場でWG会などに参加し、他の企業でセキュリティに携わっている方とお話しをする中で、刺激を受けている部分は大いにありますね。
その方は、私とは専門分野が違う方だったのですが、その方のセキュリティへの取り組みを伺って「これほどまでに熱心に、世界規模で情報セキュリティに取り組んでいる人がいるのか!」と強く感銘を受けました。そうした刺激は、その後の仕事の中にも反映されていると思っています。
また、今後SCSKがグローバルでのサービス展開を検討する際にも、実際に現在グローバル規模でビジネスを展開している企業やCSIRTの方々とコミュニケーションできる場があることは、ありがたい機会だと思っています。
村上: 協議会には、組織内での立ち位置も、ビジネス上のミッションも異なるCSIRTが幅広く加盟してくださっています。異なる立場でのフリーなディスカッションや交流から生まれる「見えない効果」というのも、あると思います。
手柴: WG会が終わった後の名刺交換の際には、実際のWG会では伺えなかったような、より深いお話しができるケースも多いです。
村上: 普段の活動を含め、参加者の間ではかなりきわどい情報がやり取りされるケースもあるようです。そのチームだからこそ見える最新のセキュリティ動向や、個人が持っている情報収集のスキルといったものが共有される中で、刺激を与え合ってもいるようです。ビジネスライクではなく、個々の信頼関係が成立しているからこそ可能な情報共有の形も、協議会にはありますね。
私の立場で企業の方に訴えたいのは、ぜひ今すぐ「社内にCSIRTを作ろう」ということです。
セキュリティインシデントは、既にあらゆる企業にとって身近な問題になっています。いざ、実際にインシデントが発生した場合には、ITに直接関わっている情報システム部門、開発部門だけでなく、リスクマネジメント部門、経営企画部門、広報部門など、社内のあらゆる部署を巻き込んだ対応が必要です。
だからこそ、明示的に部署として設置しないとしても、バーチャルなもので構わないので、機能として、そうした対応をリードできる組織を用意しておいてほしいと思います。また実際の対応にあたっては、自社の中だけで解決できない問題も多いです。日本CSIRT協議会は、そうした点で「担当者が1人で悩まなくてすむ」ような場所として運営されています。情報セキュリティとインシデント対応について考えていくにあたり、ぜひ多くの企業の方に、加盟を検討していただきたいと思っています。
| プロフィール | |
|---|---|
日本コンピュータセキュリティインシデント対応チーム協議会 株式会社ラックでセキュリティ関連の教育研修事業の企画、講師等に従事し、同時に一般社団法人JPCERTコーディネーションセンター非常勤職員として分析センターマネージャー及び、サイバークリーンセンター連絡会等の業務にも従事し、セキュリティ対策技術の向上やセキュリティ情報連携等を推進している。 |
|
SCSK株式会社 公認情報システムセキュリティプロフェッショナル(CISSP)。脆弱性診断やセキュリティ対策のコンサルティング業務に従事する。F5ネットワークス社より『2010年 Award of Excellence』に選出された。国内初の試みである脆弱性診断とWebアプリケーション・ファイアウォールを相互に連携させた新しいセキュリティモデルを確立し、政府機関、大手金融機関などを中心に導入が進んでいる。現在は、Webセキュリティを普及させるための講演や執筆活動を精力的に行い、社外の研究機関と共同で企業システムのさらなる安全性向上を目指した研究活動に従事している。 |
|
- セキュリティ キーパーソン(全3回)
- |第1回|第2回|第3回
- 分野別セキュリティ対策のポイント(全4回)
- サイバー攻撃の動向と対策(全6回)