【前編】攻撃者のコミュニティは強大化,守る側も結束を固めて対抗を

ここへきて、セキュリティ専門組織を構築する企業が増えている。なぜ今、セキュリティ専門組織が注目されているのか。そして、こうした組織が集まったコミュニティの活動はどのようなものか。セキュリティ専門組織による国際フォーラム「FIRST」のディレクタを務めるJPCERT/CCの伊藤氏に、専門組織の役割やコミュニティ活動の実際を聞いた。

このところ、セキュリティ対策として専門の組織(CSIRT:コンピュータ・セキュリティ・インシデント対応チーム)を構築する企業が増えています。

 私が日々強く感じていることは、攻撃者側がコミュニティを作り活動している事実です。彼らは、実に情報共有に長けています。アンダーグラウンドのメーリング・リスト、Webサイト、フォーラムを通じて攻撃ツールを交換して売買したりしているのです。

 それに対して、守る側のセキュリティのコミュニティはどうでしょう。各組織には、情報公開のポリシーなどの問題が多くあると思いますが、それを考慮しても情報共有はまだまだ不足しています。セキュリティは隠すものではなくて公開して議論すべきです。どのような問題が発生したのか、どのような対応をしてうまくいった、あるいは失敗した、だから次はこうして守りましょうと。今、起こっていることを共有しながら対策を講じていかないと攻撃者には勝てません。

 そこで、さまざまな分野で強みのあるエキスパートと連携して対策を練ること。それはすべての組織に必要な取り組みです。その連携の推進役となるのが組織内CSIRTです。

企業にとってCSIRT構築は不可欠

現状、CSIRTを作っているのは、ネット企業やベンダーが中心です。一般の企業でもCSIRTは必要なのでしょうか。

伊藤 友里恵(いとう・ゆりえ)氏
写真:山西 英二

 絶対にそう思います。不可欠です。攻撃者が強い意図を持ってインシデント(事件・事故)を引き起こしている現実がありますし、さらに踏み台にされる危険性もあります。自分が意図しなくても攻撃者になってしまうのです。

 おそらく、セキュリティ情報の一元化や文書化といったCSIRTの機能の多くは各企業がすでに何らかの形で持っていると思います。CSIRTが、既存の組織と何が違うかといえば、「このチームがインシデント情報を一括して扱います」と社外にあらかじめ宣言することにより、インシデントが発生したときにはすぐに連絡が来る場所だということです。

 CSIRTの国際的な組織であるFIR-ST(Forum of Incident Response and Security Teams)のWebサイトにはメンバーリストがあって、それぞれのメンバーの連絡先があります。窓口を外部に示すことは、中の体制整備と同じように必要なことです。誰かがインシデントに気付いたときにこの窓口に連絡すれば、問題が大きくなる前に対策を打つことができます。窓口の提示は最初のステップです。小さなステップですが、非常に大きな効果があると思います。


JPCERT/CCの役割はどのようなものになりますか。

 JPCERT/CCのスタッフは30人ですが、この人数で何もかも分かるわけではありません。大切なのは、「こういうことが起こったときには誰に聞けばいい」ときちんと把握しておくこと。これが、コーディネーションセンター(CC)の役割です。

最近セキュリティの専門組織を立ち上げた担当者に聞くと、守る側のコミュニティへの期待が大きいようです。

 FIRSTの発足のきっかけもそこにあって、すぐに連絡ができてインシデントを止められる担当者をきちんと集めることから始まった取り組みです。今はこのコミュニティも大きくなりました。最初は7~8チームでしたが、10月末現在、41カ国の189チームが加盟しています。既存のメンバーである2チームからの推薦がないと加盟できないというのがルールです。このようにしてセキュアなコミュニティ、信頼の置けるコミュニティを少しずつ大きくしてきました。

FIRSTは具体的にどのような活動をしているのでしょうか。

 メーリング・リストなどでいろいろな情報を交換していますが、重要なのは、同じようなミッションを持っているチームや、自分と共通の問題を解決しようとしているチームを探し出すことです。人的なつながりを築く手段として、このような場を利用するのが、国際フォーラムへの携わり方です。

 FIRSTの運営側もメンバーの期待に応える形で、できるだけ多くの国や地域のチームに参加してもらっています。セキュリティのチームだけでなく、ISP(インターネット接続事業者)のグループ、政府機関のグループ、セキュリティの法執行機関など、いろいろな立場の人たちが参加しています。FIRSTに行けば、セキュリティ関連の問題が解決でき、各方面の人たちとのネットワークを張ることができるよう、プログラムや定例総会を企画しています。

>>後編 

JPCERT/CC 経営企画室 兼 FIRST運営委員会ディレクタ
伊藤 友里恵(いとう・ゆりえ)氏
分散オブジェクトの国際標準化団体を経て、2002年11月よりJPCERT コーディネーションセンター(JPCERT/CC)。アジア太平洋地域の協力枠組み (APCERT)の立ち上げや、脆弱性情報調整機関の国際協力体制の構築に 携わる。2005年8月、CSIRTの国際連携枠組みであるFIRSTの運営委 員および理事に就任し、現在に至る。

(聞き手は,桔梗原 富夫=日経コンピュータ編集長,取材日:2007年10月25日)