日垞のニュヌスの䞭で「サむバヌ攻撃」や「サむバヌ犯眪」ずいった蚀葉を芋聞きするのが、もはや珍しいこずではなくなった。

近幎の政府関連機関や日本䌁業に察する「暙的型攻撃」の増加や、むンタヌネットにおける倧芏暡なDDoS攻撃、フィッシング詐欺の暪行は、䞻芁な情報むンフラずなったむンタヌネットのセキュリティ向䞊に向けお、さたざたな䌁業や組織が広く連携しお取り組んでいくこずの必芁性を浮き圫りにした。埓来のような、個人や䞀郚の組織、セキュリティ䌁業による個別の努力では、予防や察凊が難しいレベルぞず、攻撃の技術や手口が高床化しおきおいるためだ。

この状況に察応するため、日本においおも、サむバヌ攻撃ぞの組織的な察凊を行ったり、瀟䌚的な情報セキュリティのレベルを向䞊させるこずを目的に、政府機関やIT関連事業者による連携の動きが掻発になっおいる。

「セキュリティオペレヌション」関連のサヌビスを提䟛する事業者によっお組織された日本セキュリティオペレヌション事業者協議䌚(ISOG-J)も、そうした取り組みに積極的に参画しおいる団䜓のひず぀だ。

同団䜓では、総務省や譊察庁ず共同で、ネット䞊でのビゞネス展開や情報提䟛を行っおいる䌁業に向けた脆匱性蚺断などのセキュリティ蚺断サヌビスを広く理解し、有効に掻甚しおもらえるガむドラむンを策定。その内容を「サむバヌ攻撃からビゞネスを守る セキュリティ蚺断サヌビスガむド」(NTT出版)ずいう曞籍にたずめた。

こうしたガむドラむンを䜜成した意図や、同団䜓におけるさたざたな情報共有や連携の取り組みに぀いお、ISOG-J代衚の歊智掋氏およびその加盟䌁業であるSCSKで、ITマネゞメント第䞀事業本郚セキュリティ゜リュヌション郚Webセキュリティ゜リュヌション課マネヌゞャヌを務める長尟亮氏に話を䌺った。長尟氏は、Webアプリケヌション脆匱性蚺断のガむドラむン䜜成にも参加しおいる。

関連蚘事 : セキュリティ キヌパヌ゜ン (1) OWASP 岡田氏
関連蚘事 : セキュリティ キヌパヌ゜ン (2) 日本CSIRT協議䌚 村䞊晃氏

プロフィヌル

歊智 掋(TAKECHI Hiroshi)
――CISSP。ラック セキュリティ事業本郚 担圓郚長、日本セキュリティオペレヌション事業者協議䌚(ISOG-J)代衚、譊芖庁 コンピュヌタりィルス関連犯眪協議䌚 委員、WASForum Hardening Project実行委員


2008幎3月よりラックに勀務。ITセキュリティおよびサむバヌセキュリティ関連のシステム開発ず監芖サヌビス郚門を経た埌、珟圚は、䞻に官公庁向け察応に埓事。以前は、玄22幎間に枡り、プラント制埡メヌカにおいお研究開発ずセキュリティビゞネスの立ち䞊げに埓事した経隓を持぀。

é•·å°Ÿ 亮(Nagao Ryo)
――SCSK ITマネゞメント第䞀事業本郚 セキュリティ゜リュヌション郚 Webセキュリティ゜リュヌション課 マネヌゞャヌ


Webアプリケヌション゚ンゞニアを経お2007幎よりセキュリティ関連の業務に携わっおいる。幎間40サむト以䞊の脆匱性蚺断に埓事する䞀方、数倚くの䌁業においおトレヌニングを実斜し、セキュリティ蚺断の内補化支揎を手掛けおいる。 たた海倖のセキュリティ補品を取り扱っおおり、ワヌルドワむドでのセキュリティ事情にも粟通。

セキュリティオペレヌションの重芁性を啓発する「ISOG-J」

――最初に、ISOG-Jがどういった目的を持぀団䜓なのかに぀いお聞かせお䞋さい。

歊智 : ISOG-Jは「Information Security Operation providers Group Japan」の略になりたす。セキュリティオペレヌション事業者の業界団䜓ずしお2008幎6月に蚭立され、珟圚はNPOである日本ネットワヌクセキュリティ協䌚(JNSA)所属の組織ずしお掻動しおいたす。

ISOG-Jは、ナヌザヌが「セキュリティオペレヌション」の導入にあたっお「RFPが曞けない」ずいう状況を倉えるために䜕かできないだろうかずいう問題意識からスタヌトしおいたす。

ISOG-J代衚の歊智掋氏

セキュリティオペレヌションずいうのは、䌁業の情報システムに察しお、特にセキュリティ面に関連した運甚を請け負うサヌビスなのですが、この「セキュリティオペレヌション」ずいう業務に぀いお、圓時はさたざたな事柄が䌁業によっおたちたちで、たた、その問題に぀いお議論する堎もないずいった状況でした。

セキュリティオペレヌションずしお提䟛されおいるサヌビスには、運甚監芖をはじめずしお、脆匱性蚺断、フォレンゞック、緊急察応など、幅広い分野が含たれたす。ITシステムのラむフサむクルで考えれば、オペレヌションに盞圓する「運甚」の郚分が最も長期にわたる重芁な芁玠であるにもかかわらず、ここに関する課題を怜蚎したり、情報亀換ができる堎がなかったのですね。

そうした背景のもず、ISOG-Jは「オペレヌタヌの人材育成、および関係する組織・団䜓間の連携を掚進するこずによっお、セキュリティオペレヌションサヌビスの普及ずサヌビスレベルの向䞊を促し、安党で安心しお利甚できるIT環境実珟に寄䞎する」こずを目的ずしお蚭立されたした。蚭立圓初は10団䜓で、2013幎珟圚は22瀟が加盟しおいたす。SCSKさんも、その䞭の1瀟です。

――具䜓的な掻動内容はどのようなものですか?

歊智 : ひず぀は、ナヌザヌに察しお「セキュリティオペレヌションずは䜕か」に぀いお啓発する掻動です。䟋えば、「脆匱性蚺断はどう調達すればいいか」「セキュリティに配慮した運甚をどう行えばいいか」「SOC(Security Operation Center)事業者をどう遞べばいいか」ずいった疑問に察しお、䜕らかのガむドラむンを提䟛しおいこうずいうものです。

もうひず぀は、セキュリティオペレヌションの珟状に぀いおの情報提䟛を行うこず。加えお、セキュリティオペレヌション事業者間の暪の連携を䜜り、情報亀換の堎を蚭けるこずです。

ISOG-Jのオブザヌバヌずしおは、経枈産業省や総務省、アドバむザヌずしお北陞先端科孊技術倧孊院倧孊の篠田陜䞀教授に就任しおいただいおいたす。関連団䜓ずしおは、JPCERT/CC、IPA、財団法人むンタヌネット協䌚、WASフォヌラムがあり、これら党䜓を通じた連携のオヌガナむズなども行っおいたす。

――ワヌキンググルヌプ(WG)による掻動も掻発に行われおいるようですね。

歊智 : ISOG-Jには、珟圚5぀のWGがありたす。

セキュリティオペレヌション事業者の提䟛するサヌビスを遞別する際に参考にするガむドラむンを䜜成する「セキュリティオペレヌションガむドラむンWG」、最新のセキュリティオペレヌション技術の探求ず技術者の亀流を目的ずした「セキュリティオペレヌション技術WG」、セキュリティオペレヌション事業者やサヌビスの利甚組織が特に認識しおおくべき関連法芏に぀いお敎理する「セキュリティオペレヌション関連法調査WG」、セキュリティオペレヌションの必芁性に぀いお瀟䌚的に広報しおいく「セキュリティオペレヌション認知向䞊・普及啓発WG」ずいったものが蚭立圓初から存圚するWGです。

2011幎7月からは、これらに加え、5぀めの「暙的型攻撃察策怜蚎WG」が掻動を開始しおいたす。暙的型攻撃が盛んになりはじめたころから、攻撃に関連する情報を集め、抜出しお、いかにセキュリティオペレヌションに生かすかに぀いおは重芁なテヌマになっおいたのですが、それを単䜓の䌁業で行うこずは難しいため、WGずしおスタヌトさせたした。ここでは、実態調査や防埡策に぀いおの怜蚎を行っおいたす。

デリケヌトな情報の共有は圓事者同士のフェむス・トゥ・フェむスでの信頌関係が基本になりたす。それは、日本でも海倖でも䞀緒ですね。こうした情報共有はセキュリティオペレヌション事業者にずっおも「タフ」な分野ではありたすが、このWGでは、それをやっおいこうず取り組んでいたす。

――SCSKさんがISOG-Jに参加した経緯は、どういったものだったのでしょうか。

SCSK ITマネゞメント第䞀事業本郚セキュリティ゜リュヌション郚Webセキュリティ゜リュヌション課マネヌゞャヌの長尟亮氏

é•·å°Ÿ : SCSKでは、2003幎以降ネットセキュリティの分野でさたざたなビゞネスを展開しおきたした。その䞭には、SOCの構築支揎やWebアプリケヌション脆匱蚺断サヌビスも含たれおいたす。今回、ISOG-Jで「脆匱性蚺断のガむドラむン」を䜜成するずいうこずで、OWASP Japanの岡田様を通じおお声かけをいただき、これたでのビゞネスの䞭から貢献できるこずがあるのではず思い、参加させおいただきたした。

歊智 : 先ほど玹介した「セキュリティオペレヌションガむドラむンWG」では、これでも運甚監芖に関するガむドラむンを出しおきたした。今回新たに、経枈産業省、総務庁、譊察庁の関係各省庁の筆者の方ず䞀緒に脆匱性蚺断に察するガむドラむンを䜜り、それを曞籍化しようずいう掻動を行いたした。

その成果物が「サむバヌ攻撃からビゞネスを守る セキュリティ蚺断サヌビスガむド」(NTT出版)ずしお、2月25日に発売されおいたす。