ニュース
» 2009年06月03日 10時05分 UPDATE

インシデント対応チームの国際連携:セキュリティ対策のネットワークインフラとなるFIRST

セキュリティ問題の国際化が進み、その対応にも国際連携が求められる。対応にあたるCSIRTを世界規模で支援するFIRSTの中身を紹介しよう。

[中尾真二(JPCERT/CC),ITmedia]

 前回は、企業や国単位で活動する「シーサート(CSIRT)」の世界的な組織「FIRST」について、その設立背景や役割について解説した。今回は、FIRSTの具体的な国際連携活動について掘り下げてみよう。

 前回述べたように、特定のセキュリティインシデントに対してFIRSTが主体的に対応を行ったり、指揮したりすることはない。新しい攻撃や問題が報告されると、情報をメンバーのCSIRTチームへアナウンスしたり、メーリングリストなどで提供したりする。実際のインシデント対応は、個別のチームがFISRTメンバーからの情報も活用して行うことが基本だ。

 FIRSTにおける、メンバーの活動について、具体例をいくつか紹介しよう。例えば、コンピュータウイルスの被害発生などがCSIRTに寄せられたとする。しかし自国での報告例が少ないといった場合、その情報やウイルスの検体を持っているチームが他地域にないかという問い合わせを、FIRSTのメンバーリストに出すことがある。これに対して、情報提供を行えるメンバーチームが協力を行ったり、情報を有するCSIRTを紹介したりする。

 また、他国にホストされているフィッシングサイトを閉鎖させたい時、その国の「POC(Point of Contact)」となるCERTやCSIRT組織はどこかを調べたいという場合も、FIRSTのメールリングストに問い合わせることになる。既存のメンバーによる厳しい審査を受けて入会している、信頼関係のあるさまざまな国や企業のチームが参加しているFIRSTコミュニティーからの紹介や提供される情報であれば、国同士の利害関係などを超えて信頼性の高い情報が期待できるという側面もある。

 このような情報共有は、FISRTがオンデマンドで常時行っている活動の一つだが、イベントとして開催されるものもある。6月に京都市で開催される年次会合(Annual Conference)と年4回ほど開催される「テクニカルクロキア(Technical Colloquia)」だ。どちらのイベントも、脆弱性情報やインシデント事例、対応ツール、そのほかの関連技術や課題について多数の発表や議論が行われる。年次会合はオープンな国際会議として参加者に特に制限はないが、テクニカルクロキアはFIRSTメンバーのみが参加できるイベントである。

 このほか、「SIG(Special Interest Group)」という分科会も活動している。主に、以下のようなものがある。

Abuse Handling SIG(AH-SIG):

 スパム、フィッシングなどといったインターネットの不正利用について、国際間での調査、情報共有を行い、対策などを話し合う。

Artifact Analysis SIG(AA-SIG):

 ウイルスやマルウェアについて、検体の採取、対策方法、解析などについて調査・研究を支援する(なお、情報セキュリティやインシデント対応の文脈で「Artifact」(=人工物、遺跡などの意味がある)といった場合、通常のソフトウェアに本来存在せず、後から作られたものという意味でウイルスなどのことを指す)。

Common Vulnerabilities Scoring System(CVSS-SIG):

 脆弱性について、その度合いを指標化、数値化しようという試みを行う。NIAC(National Infrastructure Advisory Council)が仕様を作り、その活動がFIRSTに引き継がれた。

CSIRT Metrics SIG:

 CSIRTとしてのスキルを高めるため、機能とパフォーマンスについて評価、改善するための評価基準を検討している。

Internet Infrastructure Venders SIG(Vender-SIG):

 OS、コンピュータハードウェア、ネットワーク機器、アプリケーションなどインターネットインフラのベンダーで構成される。ベンダーや業界間の情報共有や議論を行う。

Law Enforcement/CSIRT Cooperation SIG(LECC-SIG):

 国際間でのインシデント対応について、主に捜査など協力体制の取り方、プロセスについて議論をする。法規制やその運用が国によって異なるため、共通の手順を決めることや異なるプロセスを連携させる調整を検討する。

Network Monitoring(NM-SIG):

 セキュリティやインシデント対応の面からのネットワーク監視、トラフィック分析に関する方法、技術などについて話し合う。

 FIRSTは、このような活動を通じてメンバーとなっているCSIRTの国際協調を支援している。メンバーは、北米、南米、ヨーロッパ、アジア、中東など44の国・地域に広がっているが、現在、アフリカ大陸には1つのCSIRTチームしか存在していないという。FIRSTは今後、アフリカ大陸でもCSIRTの普及を推進させていく方針である。

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

コミュニティー | セキュリティ対策


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -