インターネット関連のビジネスを展開している企業だけでなく、今やあらゆる企業にとって「情報セキュリティインシデント」(情報セキュリティ上の重大な事故、もしくはそれにつながる恐れのある事案)に備えることは、リスク管理の一環として重要な課題となっている。近年の企業や政府関連組織に対する「標的型攻撃」や、「DDoS攻撃」の例もあるが、現在ではあらゆる企業がサイバー攻撃の対象となったり、また意図しないうちに攻撃の一端を担わされたりといったケースが、日々発生している。
こうした事案に対する情報の収集や対応は、当事者となっている企業だけでは難しいケースが多い。そのため、企業の枠を超え、必要な情報を共有し、対応を組織的に行っていこうという取り組みも、さまざまな場所で行われている。日本コンピュータセキュリティインシデント対応チーム協議会(日本CSIRT協議会)も、そうした取り組みのひとつだ。
今回、同協議会で運営委員長を務める村上晃氏と、協議会の加盟社であるSCSKで、ITマネジメント第一事業本部 セキュリティソリューション部Webセキュリティソリューション課のマネージャーを務める手柴雄矢氏に、設立の経緯や現在の活動内容についてお話を伺った。
関連記事 : セキュリティ キーパーソン (1) OWASP 岡田氏
プロフィール村上 晃(MURAKAMI Akira)
――日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会) 運営委員長
株式会社ラックでセキュリティ関連の教育研修事業の企画、講師等に従事し、同時に一般社団法人JPCERTコーディネーションセンター非常勤職員として分析センターマネージャー及び、サイバークリーンセンター連絡会等の業務にも従事し、セキュリティ対策技術の向上やセキュリティ情報連携等を推進している。手柴 雄矢(TESHIBA Yuya)
――SCSK ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 マネージャー
公認情報システムセキュリティプロフェッショナル(CISSP)。脆弱性診断やセキュリティ対策のコンサルティング業務に従事する。F5ネットワークス社より『2010年 Award of Excellence』に選出された。国内初の試みである脆弱性診断とWebアプリケーション・ファイアウォールを相互に連携させた新しいセキュリティモデルを確立し、政府機関、大手金融機関などを中心に導入が進んでいる。現在は、Webセキュリティを普及させるための講演や執筆活動を精力的に行い、社外の研究機関と共同で企業システムのさらなる安全性向上を目指した研究活動に従事している。
企業の枠を超えた情報共有を目指す「日本CSIRT協議会」
――日本CSIRT協議会がどういった目的を持った組織なのかについて教えてください。
村上 : まず、CSIRT(シーサート)という言葉が、耳慣れないものかもしれませんので説明をします。CSIRTは「Computer Security Incident Response Team」の略称です。CSIRTは、もともとコンピュータセキュリティインシデント、つまりセキュリティ上の重大な事故や、それにつながりかねない潜在的な事案に対処するための組織のことを指しています。
日本コンピュータセキュリティインシデント対応チーム協議会 運営委員長の村上晃氏 |
CSIRTでは、インシデント関連情報、脆弱性情報、攻撃の予兆に関する情報などを収集、分析し、対応方針を策定するといった活動を主に行います。CSIRT、もしくはCSIRT的な役割を果たす組織は、コンピュータシステムの運用にかかわる企業の多くに存在しています。
それぞれのCSIRTの目的や成り立ち、組織内での位置づけや活動範囲などは、異なっています。そのような理由で、各CSIRTは、それぞれの企業の中で個別に活動を行っていたのですが、そうした形での対応に限界が見えてきたのです。
近年のセキュリティインシデントは、1社のインシデントが他社に影響を与えたり、お客様に影響があったりといったケースが増えてきました。こうしたケースに対応するためには、1社だけでの取り組みでは難しい状況になってきたのです。また、知り得た情報を公開、共有しようにも、1社の中だけでは、その情報をうまく取り扱えないといった問題もありました。
そこで、目的の違いや立場の違いがあるCSIRT同士をうまく連携させ、それぞれの問題や課題、今後新しく出てくるであろう脅威について、情報共有や連携をする組織の必要性が高まり、2007年に日本CSIRT協議会が発足しました。
発足時は6社でしたが、現在(2013年2月現在)では33のチームに加盟していただいています。SCSKさんの「SCSK CSIRT」も、2012年に加盟されています。
デリケートな情報は「顔」が見えるからこそ共有できる
――協議会では、具体的にどのような活動を行っているのでしょうか。
村上 : まず「ワーキンググループ(WG)」と呼ばれる、勉強会的なワークショップを開催しています。
活動中の主なWGとしては、組織内で活動するCSIRTの構築や運用における課題を洗い出してディスカッションしていくシーサートWGのサブWGである「シーサート課題検討SWG」や「シーサート構築推奨SWG」、CSIRT間でコンピュータセキュリティインシデントに関する脅威情報を共有していく「脅威情報共有WG」、国内の各CSIRTの目的、組織内での立場、権限、人員、予算といった背景情報を整理して共有するための「CSIRT FACT SHEET WG」、実際にインシデントが発生した時の技術的な対応方法などを学んでいく「インシデント対応技術調査WG」、インシデント情報をどのような手順で共有、交換、公開して活用していくべきかのフレームワークを検討する「インシデント情報活用フレームワーク検討WG」などがあります。
――成果物にはどんなものがあるのでしょうか。
村上 : サイト上にまとめているのですが、CSIRTを構築する上での注意点や課題、定義すべき事項についてまとめた「CSIRTスタータキット」やCSIRTの説明を簡潔にまとめた「What's CSIRT?」、また、一昨年には、Gumblarウイルスに関する詳細な情報や対応方法を報告書としてまとめるということをやっています。また、会員チームのご協力のもとで、海外の有識者を招聘してCSIRTワークショップ(勉強会)を実施した実績があります。