情報処理振興事業協会(IPA)セキュリティセンターは3月22日,コンピュータ緊急対応センター(JPCERT/CC)の協力で「情報セキュリティ・インシデントへの組織的対応セミナー」を開催した。情報システム部門などの責任者が対象で,コンピュータ・セキュリティ・インシデント*1 に関する基礎知識とCSIRT *2(Computer Security Incident Response Team)の必要性を理解してもらうことが目的。IPAとJPCERT/CCが共同でセミナーを開催するのは初めてであり,CSIRTについて語られるセミナーも日本では今回が初めてだという。「日本には,セキュリティの問題に対応する組織が決定的に不足している」という状況が訴えられた。
*1 Computer Security Incident。コンピュータ・セキュリティに関係する人為的事象(incident)のことで,意図的および偶発的に発生する。具体的には,法律で規定された「不正アクセス」に限らず,弱点探索(ポート・スキャン)やリソースの不正使用,サービス妨害(DoS:Denial of Service)などを含む(JPCERT/CC運営委員 白橋明弘氏の講演から引用)。
*2 Computer Security Incident Response Teamの略。コンピュータ・セキュリティ・インシデントに対応する組織のこと。ユーザーなどからインシデント発生の報告を受け付け,当事者(例えば攻撃元と考えられる組織)とのやり取りを仲介したり,関連する技術情報を提供したりして,問題解決の手助けをする。日本ではJPCERT/CCが唯一のCSIRTと認識されている。
 |
| 写真●CSIRTについてのパネルディスカッション 一番左がコーディネータの小林正彦氏(IPA)。パネリストは左から,下村正洋氏(JNSA),田辺雄史氏(経済産業省),白橋明弘氏(JPCERT/CC),宮川寧夫氏(IPA) |
セミナー前半では経済産業省やJPCERT/CC,IPAの現在の取り組みなどについての講演があったが,メインは後半に講演ならびにディスカッションで議論されたCSIRTについてである。特に,パネルディスカッションでは日本におけるCSIRTの必要性ならびに問題点が語られた(写真[拡大表示])。
米国や欧州では,ひとつの国にCSIRTが複数存在するのに対して,日本ではJPCERT/CCだけである。今後は,JPCERT/CCだけでは対応しきれなくなることが予想される。「xDSLなどの普及により,個人ユーザーにもブロードバンドの常時接続環境が整う。そうなれば,必ずセキュリティ・インシデントの発生数は増加する。それに備えて,JPCERT/CC以外のCSIRTを考えなくてはならない」(JPCERT/CC運営委員 白橋明弘氏)。
処理能力の問題だけではない。ユーザーによっては,「お金を払うから個別に対応してほしい」などのニーズが起きる。しかし,JPCERT/CCは公的な組織なので,対価を要求するような個別のニーズには対応できない。それには民間のCSIRTが必要となる。
白橋氏は次のようなCSIRTを可能性として挙げた。
(1)企業内CSIRT:ワールドワイドで展開する企業内に存在し,各国法人で発生したセキュリティ・インシデントに対応する
(2)教育CSIRT:教育機関(学校)を対象とし,そこで発生したセキュリティ・インシデントに対応する
(3)サービス・プロバイダCSIRT:セキュリティに関するサービスを提供しているプロバイダなどが,顧客を対象にサービスを提供する
それぞれのCSIRTが対象ユーザー(顧客)に対してインシデント対応サービスを提供するとともに,現在増えているインシデントの情報やぜい弱性(セキュリティ・ホール)情報を共有すれば,いち早く対策をとれる。加えてコストも削減できる。また,インシデントやぜい弱性情報をユーザーに通知するチャネルが増えることにもなる。
「しかし問題は山積している」と白橋氏は続ける。
(1)CSIRTをどのように立ち上げればよいのか
(2)各CSIRTがどのような仕組みやルールで情報を共有すればよいのか
(3)ぜい弱性情報のデータベース化をどうするのか
白橋氏によれば,セキュリティ・インシデント対応をしていれば,自然とぜい弱性情報が蓄積されるわけではなく,まったく別の仕事としてデータベース化に取り組む必要があるという。
そして一番大きな問題が,(4)CSIRTがビジネスとして成り立つのか,である。
だれがコストを払うのか?
CSIRTは公共の利益になりうる。そこでまず考えられるのが,“政府主導型”。しかし,「複数設立したCSIRTすべてを税金でまかなうことは無理」(経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 田辺雄史氏)。「国が支えるのは最低限。それ以上は民間で行ってほしい」。現在,IPAとJPCERT/CCは経済産業省の予算で運営されている。これ以上は税金では運営できないという。
セキュリティ・ベンダーの業界団体が作る,というのもむずかしいようだ。103社のセキュリティ・ベンダーなどから成る業界団体「日本ネットワークセキュリティ協会(JNSA)」の事務局長である下村正洋氏は「企業ユーザー相手ならば,インテグレータが窓口になって対応可能だが,個人ユーザー相手ではとても対応できない」と難色を示す。情報の共有についても,「JNSA内部ではCSIRTのような仕組みを作る可能性はあるが,その情報を“外”に提供することはない」という。そして,下村氏も「コストをだれが負担するのか」を一番の問題として挙げた。
コーディネータであるIPAセキュリティセンター所長の小林正彦氏がまとめたように「JPCERT/CC以外のCSIRTは必要で,たくさんあればあるほどよい。だが,コスト負担やビジネス・モデルが問題」というのが現状のようだ。
しかし,なんとかしてコストの問題を乗り越えなくてはならない。最後に,白橋氏は以下のこと強調した。「ブロードバンドの常時接続が立ち上がってきている今が大きなポイントだ。このまま手をこまねいていると,3年後には大変なことになる。経済原則に反する形でも複数のCSIRTを設立する必要がある」。そのためには,ユーザーひとり一人の理解はもちろんのこと,政府や業界団体の理解も必要である。また,欧米ではハードやソフトウエアのベンダーにより運営されているCSIRTや,会費を払ったメンバーを対象とする商用のCSIRTなどが存在する。日本でも同様のことは可能であろう。
問題解決の方法を提示するまでには至らなかったが,CSIRTの必要性と問題点を参加者に周知できたという点では,今回のセミナーは成功だったといえるだろう。
