インシデント管理の難しさは,素早い判断を求められることにある。日々発見されるぜい弱性の情報を収集するだけでも手数がかかるが,CSIRTスタッフはその中から自社に関係するものを抜き出し,対応の必要性を判断し,緊急度の高いぜい弱性については即座に対策を講じなければならない。
難しいのは情報を収集したあとだ。例えば,JPCERTコーディネーションセンターで収集するぜい弱性情報は年に8000件と膨大。この中から,それぞれの情報の信ぴょう性を判断すると同時に,自社のネットワーク/システムに関係する情報だけを抜き出し,さらに深刻度/緊急度を分析したうえで,対策を考える必要がある。
作業量に加え,深刻度や対策の判断が必要となることを考えると,1人で担当するのは荷が重い。ところが,この類の業務を複数人で担当すると,問題が生じやすい。分析担当者の意見が一致しない,分析担当者が個人的な先入観を適用する,決定に組織の価値観が反映されないことがあるといった具合である。
そこで役立つのがぜい弱性対策決定支援モデルの「VRDA」(vulnerability response decision assistance)である。ぜい弱性情報と対応履歴のデータベースを基にして,新しいぜい弱性への対処方法の候補を提案するエキスパート・システムである(図1)。あくまでも対策の意思決定を支援するものであり,判断を自動化するわけではないが,作業の負担軽減は期待できる。
VRDAのシステムは大きく3種類のコンポーネントで構成される。ぜい弱性の特性など対策の意思決定要素を記述した「FACT」,導入されている製品の重要度や利用規模などに関する情報「LAPT」(lightweight affected product tags),そして意思決定モデルである(写真1)。
通常,人手によるインシデント管理では,ぜい弱性が発見されると,当該ソフトウエアを利用している人数,利用している業務の重要性などから,影響の大きさを判断する。VRDAでは,これと同じ意思決定モデルを使う。LAPTを特定した結果得られるFACTの内容を基に,ツリー状に設定した意思決定のルールにしたがって望ましい対応を選び出し,提示する。例えばぜい弱性が見付かったソフトが,一般的に利用者が少ないものでも,自社の業務システムの基幹部分で採用していれば対策は急を要する。
JPCERT/CCは米CERT/CCと共同で,VRDAを実装したツール「KENGINE」の開発を進めている。次回は,KENGINEをについて解説する。
