「JPCERTコーディネーションセンター(JPCERT/CC)が発足したのは1996年10月。当初は,セキュリティ・インシデント*が発生した企業/組織の“駆け込み寺”としての重要性が高かった。だが現在では,その役割は変化している」(JPCERT/CC代表理事の歌代和正氏)。「官と民,国内と海外,競合他社間といった,情報を共有しにくい組織間の“橋渡し”をする役割が重要になってきている」(早期警戒グループ 業務統括の伊藤友里恵氏)---。JPCERT/CCは11月7日,IT Proの取材に対して,同組織のこれまでの歩みや現状について解説した。
*セキュリティ・インシデント:セキュリティに関する事件や出来事
6名でスタートしたCSIRT
JPCERT/CCの発足当時は,インシデント対応(レスポンス)に関する情報はほとんど世の中に出回っていなかった。このため,冒頭の歌代氏の言葉にあるように,インシデント・レスポンスが業務内容の中心だった。「当時のスタッフは6名」(経営企画室 経営企画室長の大林正英氏)。ニーズがあったことに併せて,「この人数でできることとして,インシデント・レスポンスに力を入れることにした」(歌代氏)。
1998年には,CSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)の国際的なフォーラムである「FIRST」に国内で最初に加盟。インデントに関する国内の“受け付け窓口(POC:Point of Contact)”として国際的に認知された。
その後も,国内の代表的なセキュリティ組織としてインシデントに対応してきた。だが,求められる役割が徐々に変化してきたという。特に,「2000年に相次いだ官公庁のサーバーへの不正侵入を契機に,インシデントに関する社会全体の意識が変わった」(歌代氏)。大手企業や組織ではインシデント・レスポンスの重要性を認識するようになり,そのための情報もネットなどから入手できるようになった。インシデントに対応する組織も増え,商用サービスも提供され始めた。
このころになると,JPCERT/CCには,インシデントが発生した組織への個別対応よりも,インシデントに関係する組織間の調整が求められるようになった。インシデントの傾向も,「一組織が対応すれば済むものから,複数の組織が連携して対応しなければならないものに変化してきた」(大林氏)。利害関係により,当事者間では調整できないようなケースや,そもそもどこへ連絡してよいのか分からないケースの“橋渡し”の役割が重要になっていった。
業務内容を徐々に拡充
2003年3月には,それまでは任意団体であったJPCERT/CCは,有限責任中間法人格を取得(法務省による「中間法人制度」のページ)。NPO法人になることも検討したが,「NPO法人では監督官庁を持つ必要があるので選択しなかった」(大林氏)。JPCERT/CCでは,「発足当時から『中立性』と『独立性』を第一」(同氏)としていたためだ。
2003年ごろには,新たな問題が発生していた。インシデントに関する情報がJPCERT/CCにあまり寄せられなくなってきたのだ。JPCERT/CCでは,個別のインシデントに対応するだけではなく,寄せられたインシデント情報を取りまとめて,「どのようなインシデントが“流行”しているのか,どのような対策を施せばよいのか」といった情報を公表している。そういった情報を出すための“材料”が不足し始めていた。報告件数自体はほぼ増加傾向にあるものの,その多くはポート・スキャンなどに関する情報が多く,共有することで役に立つような情報は減ってきているという。
そこで2003年12月からは,自分たちでも情報を収集するために「インターネット定点観測システム(ISDAS)」の運用を開始(関連記事)。JPCERT/CCのサイトにおいて,収集データを公開している。
ちなみに,2003年12月時点のスタッフは15名。現在では30名弱。「現在の業務内容は,“30名体制”でおこなうことを想定している」(歌代氏)。このため,若干の人手不足状態にあるという。
インシデントが発生する前の“プロアクティブ”な対応として,2004年7月からは脆弱性情報のハンドリングを開始(関連記事)。経済産業省の告示に基づいた「情報セキュリティ早期警戒パートナーシップ」で報告された情報だけではなく,海外の関連組織である米CERT/CCや英NISCCからの情報も整理して,「JP Vendor Status Notes(JVN)」サイトなどで発信している。
2005年9月からは「早期警戒」という業務を開始している。業務内容は,「脅威度が高い未公開の脆弱性情報を,回避策とともに重要インフラなどに知らせる」「重要インフラなどにおける『サイバー・セキュリティ演習』(インシデント演習)を実施する,あるいは実施を手助けする」「現在出回っている,あるいは今後出回ることが予想される脅威を分析し,その対策情報などを収集する」---など。
JPCERT/CCでは,一般のユーザーや管理者に対して,JPCERT/CCをもっと利用してほしいと強調する。「セキュリティに関する情報をJPCERT/CCやJVNのサイトで提供しているので活用してほしい。また,インシデント情報も報告してほしい。企業や組織が特定できるような形では公表しない。匿名にした上で,ネット全体のセキュリティ向上に役立つような形で公表する」(伊藤氏)
