| エンタープライズ:ニュース | 2002/12/20 03:00:00 更新 |
Internet Week 2002 Report:独自インシデントレスポンスチームの背景と役割
Internet Week 2002のメインプログラムの1つとして行われた「JPCERT/CC Seminor 2002」では、複数の種類のCSIRTを代表するパネリストが登場した
「CSIRT(Computer Secuirty Incident Response Team)」という言葉を知っている人はどのくらいいるだろうか? 簡単に表現すれば、情報収集やコーディネーションを通じてさまざまなセキュリティインシデントに対応する組織のことだ。
国内でよく知られているCSIRTとしては、米CERT/CCやコンピュータ緊急対応センター(JPCERT/CC)、あるいは情報処理振興事業協会セキュリティセンター(IPA/ISEC)などが挙げられるだろう。だが一方で、この1〜2年間で、政府やISP、企業内に独自のCSIRT、あるいはIRT(緊急対策チーム)を立ち上げる動きがあるという。
Internet Week 2002のメインプログラムの1つとして行われた「JPCERT/CC Seminor 2002」では、こうした複数の種類のCSIRTを代表するパネリストが登場し、インシデントレスポンス、ひいてはセキュリティ情報の蓄積・共有の方法に関する議論が行われた。
トップバッターは、内閣官房情報セキュリティ対策推進室内に設置されたNIRT(緊急対応支援チーム)の大野浩之氏だ。同氏は、NIRT設立の背景と目的、これまでの活動などについて説明した。「まず、インシデントに対処するための体制から整えている」(大野氏)。NIRTではさらに、情報交換や、同氏すら時期を知らない抜き打ちテストも含んだ訓練、研修を展開しているという(別記事参照)。
さらに大野氏は、司会を務めたJPCERT/CC運営委員会委員長の山口英氏の質問に答え、NIRTの活動を通じて蓄積してきた知見(ナレッジ/ノウハウ)を、官公庁ならではのきちんとしたドキュメントの形にまとめていく方針も示した。さらに「そのままの形とまではいかないまでも、一般的なCSIRTを運営するときに知見として、幾つかの方法で公開していかなければとも考えている」という。
abuseに対応
JPCERT/CCなどのパブリックな性格の強いCSIRT、あるいはNIRTに代表される政府関連のCSIRTとは別に、民間分野でも幾つか、独自に対応チームを立ち上げる動きがある。その1つがインターネットイニシアティブ(IIJ)だ。
同社では、ISPを取り巻く環境の変化と提供サービス内容の広がりを受けて、今年5月にIIJ-SECT(IIJ group SEcurity Coordination Team)を立ち上げている。同社グループに寄せられるセキュリティインシデントや苦情に、よりよく対処するためのサポートを提供するとともに、情報の蓄積・共有と教育活動などに取り組んでいる組織だ。パブリックなCSIRTとは異なり、同社グループの顧客が関わるインシデントについて、内部向けにコーディネーションを行うことが特徴である。
その活動の代表例が、今年9月、Sendmailにトロイの木馬がしかけられたケースを報告したことだ(CERT Advisory CA-2002-28)。IIJ-SECTの斎藤衛氏によると、この問題に気づいたきっかけは、ある担当者がSendmailのソースコードをダウンロードし、コンパイルした後の不審な挙動に気づいたことだったという。米センドメイルとさまざまに協業しているとはいえ、海外の組織と連絡をとる必要があり、しかも週末をまたいだことから、最初に問題を報告してからきちんとそれが認知され、周知されるまでには相応の日時を要した。
さらに斎藤氏は、インシデントレスポンスに関して誰が最終的に責任を持つのか、それに要するコストは誰が負担するのか、CSIRTの有償化もあり得るのか、そして日本独特のセキュリティに対する態度を考慮した場合、理想的な解決とはどういった方法なのかという、非常にセンシティブな問題も提起している。
ベンダーとしてCIRSTを設立
3番手として登場したNECの宮地利雄氏は、製品やシステムを提供するベンダーとして脆弱性にいかに取り組んでいくかという観点から、同社CSIRTの役割について説明した。
宮地氏によると、NECでこのような取り組みが開始されたきっかけは、広範な影響を与えたSNMPの脆弱性だった。「ベンダーとしては、できるだけ早く情報を受け取り、調査して、速やかに対応していきたい」(同氏)という思いから、CERT/CCおよびJPCERT/CCと協力関係を結び、脆弱性情報の早期の入手とそれに基づく調査、回収、フィードバックに取り組んでいる。
もちろん、こうした体制が一朝一夕にできたわけではない。宮地氏は、「“脆弱性とは何か”“CERT/CCとは何か”といったところからはじめ、セキュリティおよびCSIRTについて全製造部門に理解してもらうこと」「全社的なオーソライズ、お墨付きを得ること」「品質管理部門との相互理解、協力体制を作り上げ、そのネットワークの力を借りてセキュリティを付加していくこと」「ボランティアではなく、組織的に事業体制の中に組み込んでいくこと」といった、CSIRT展開の際のポイントを紹介した。
その甲斐あって、100パーセント完璧にとまではいかないまでも、自社製品の脆弱性に起因する危険性を回避できるようになってきただけでなく、セキュリティ情報の流れが円滑化した。さらに、「製品開発部門のセキュリティに対する感度、理解が向上した」(同氏)という。
「これまではあくまで利用者の立場として、CERT/CCの情報を配布するといった形のつながり方だった。しかし今後は、ベンダーとしてプロアクティブに付き合っていくという姿勢へ変わりつつある」――宮地氏は独自CSIRTによる変化をこのように表現している。
CSIRTを巡っては、他にもいくつか議論すべき点がある。先述の有償か無償かという問題に加え、CSIRTを支える人材の問題、中央官庁や大企業以外――地方自治体や中小企業、教育機関における取り組みへの支援、さらにはCSIRTどうしのコーディネーション、CSIRTを取り巻くコミュニティのあり方など、論点はまだまだ多い。
山口氏が会場に対し「この中でCSIRTを作ろうと考えている人はどのくらいいますか?」と質問したところ、手を挙げたのはほんの1、2名だった。景気は悪く、IT予算額は絞られ、人材も十分にはいない。悪条件は確かに多いが、来年のInternet Weekではこの数字が多少なりとも増えていることを期待したい。
関連記事
Sendmailソースコードにトロイの木馬関連リンク
Internet Week 2002コンピュータ緊急対応センター[高橋睦美,ITmedia]
