新米CSIRTへの至言：後編--セキュリティ情報の共有をめぐる現実と理想

　日頃からセキュリティ関連情報を収集し、インシデント防止に向けて準備を整え、いざ発生した際には対処に当たる「Computer Security Incident Response Team」（CSIRT）の構築に取り組む企業が増えている。CSIRT同士が協調し、情報やノウハウを共有し、共通の課題を解決することを目的に設立された日本シーサート協議会（NCA）の加盟チーム数も右肩上がりに増加し、今や243チームが加盟するに至った。

　NCA発足10周年を記念して行われたカンファレンス「NCA 10th Anniversary Conference」では、そんなCSIRTの抱える課題と、これからに向けた提言が紹介された。

情報共有の枠組みに“魂”を入れる

　同イベントのパネルディスカッション「仏作って魂入れよう！ ぼくたちの情報共有新学期！」では、CSIRT研究家の山賀正人氏が講演で紹介した「積極的に情報発信を行っている専門家」の辻伸弘氏（ソフトバンク・テクノロジー）、徳丸浩氏（EGセキュアソリューションズ）、根岸征史氏（インターネットイニシアティブ）が、幾つかの脆弱性対応を例に取り、情報共有のあり方について議論を交わした。

インターネットイニシアティブの根岸征史氏

　まず根岸氏は、「受け手にとって役に立つ情報共有とは、どんなものかを常に考えている。CSIRTは情報を出す側でもあり、受け取る側でもあるが、そのどちらにも成熟が必要ではないか」と指摘した。

　一例として挙げたのが、2017年3月に発覚したApache Struts 2に存在する「S2-045」の脆弱性の扱いだ。脆弱性に関するアドバイザリが先に出されてしまい、正式な修正版が公開される前に、早くも攻撃のProof of Conceptコード（攻撃の概念実証コード）が登場した。実際に海外だけでなく、国内でも複数の企業がこの脆弱性を悪用する攻撃によって、被害を受けてしまった。

　ITベンダーでは3月7日の午後5時から同7時頃にかけて対応が始まり、金融ISACなどでも情報が共有された。だが根岸氏は、ほぼ同じ時間帯に攻撃が観測されていたことに触れ、「本当にその情報収集で大丈夫だろうかと思う。脆弱性に対応する立場の人が、二次情報に依存しているのはどうだろうか」と問題を提起し、「情報が流れてくるのを待つというスタンスはやめた方がいいのではないか」と述べた。

　S2-045の脆弱性については、アドバイザリが出た後に正式なアナウンスが公開されるなど、情報公開のプロセスに課題があった。

　徳丸氏は、深刻な脆弱性を修正する際に、事前に予告するようになったJoomla!や、詳細な脆弱性情報よりも先にパッチを公開したWordPressを例に取り、「脆弱性情報を受け取る側もそうだが、情報を出す側にも配慮や工夫がいるのでは」とコメント。同時に、組織ごとに、誰がどんな情報を見張り、どんな手順で対応するかを取り決めておく必要もあるだろうとした。

　関連して辻氏は、「全てについて一次情報を見るのも、しんどい話。深刻なもの、ヤバいものは優先してチェックするという具合に、脆弱性を全て同じレベルで見るのをやめた方がいいのではないか」と述べた。

　また、仮に対処プロセスを定めていた場合でも、パッチを適用するためテストしている間に攻撃を受ける可能性もあることに触れた。「被害を減らすために、選択肢の一つとして、誰が判断するのかも含め、『止める』というフローを作っておいてほしい」とコメントした。