ニュース
2004/02/27 21:24:00 更新
セキュリティ情報共有プロジェクトが抱える課題と期待
複数の組織や企業の間でログやセキュリティ情報を共有し、分析することによって、どういった効果が得られるのか。はたまたその課題は何かについて、CSISPの参加者がディスカッションを行った。
天気予報の場合、1カ所だけで観測を行うよりも、さまざまな場所で観測を行い、その結果を総合的に分析することによって有用な情報が得られる。セキュリティでも同じことだ。さまざまな組織が収集したログをはじめとする情報を集約することで、全体的な攻撃の傾向をつかみ、脅威の動向を把握し、早期警戒に役立てることができる。
Information and Analysis Center(ISAC)というこのコンセプトは、今、いくつかの組織によって進められている。
Cyber Security Information Sharing Project(CSISP)も、その具体例の1つだ。これは米ArcSightとCERT/CCが主導し、いくつかの大学が参加して進められているプロジェクトだ。つい先日には、マネージド型のセキュリティサービスを提供している米Unisysが参加を表明し、同社SOCから得られた情報の提供を開始している。
こういった背景を踏まえ、セキュリティ情報の共有・交換プロジェクトのあり方や今後の方向性について議論するセッションが、RSA Conference 2004の中で行われた。
複数の組織や企業の間で、ログをはじめとするセンシティブな情報を共有するとなると、当然、いくつか検討が必要な事柄が生じてくる。技術的な観点からは、「データが持つ豊富な内容を損なわないようにしながら正規化し、重要な情報を抽出することが重要だ」(米CERT/CCのリッチ・ペシア氏)。そのためには情報を収集・共有するための共通のデータ構造や言語の整備が必要だという。
さらに、米国土安全保障省でインシデントレスポンスマネージャを務めるジョン・ペイトン氏は、「収集したデータのプライバシーを保ち、統計情報以外のデータが公にならないよう注意が必要だ」と述べた。米Unisysのジョン・サマーズ氏も、法律への配慮にも留意すべきだとコメントしている。
実際のインシデントを見ると、かなりの割合が内部に起因するものに占められている。「内部の人物ならば、機密情報へのアクセスはより容易だ。アノーマリ分析や相関分析などを組み合わせ、内部の悪意ある人物を把握するベストプラクティスが必要だ」(米ArcSight社長のロバート・ショー氏)。この現状を踏まえて、「CERT/CCではもう1つ別のプロジェクトとして、組織内部で発生する問題を特定できるよう、内部ユーザーの振る舞いを把握、分析できるような取り組みを進めている」(ペシア氏)という。
他に活動を継続するための予算確保といった課題もあるが、「全体としてコミュニティは正しい方向に向かっている。ケーススタディや見本となるリファレンスを作成し、この動きをさらに加速していきたい」とペイトン氏。情報の交換・共通を通して得られる信頼関係を、プロジェクトに参加している企業や組織の間だけでなく、その顧客にまで広げていければと期待を語った。
またUnisysのサマーズ氏は、セキュリティ情報に関するこういった共同作業が、企業のリスク管理に与える好影響について言及。企業におけるリスク管理手法やビジネスプロセスへうまく連動させていけるのではと述べている。
関連リンク
RSA Conference 2004CERT/CCArcsightUnisys[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
