CSIRTネットワークの構築を担うFIRSTとは?:インシデント対応チームの国際連携
情報セキュリティのリスクが企業での大きな課題になり、専門的に対処する「シーサート(CSIRT)」の枠組みが注目されている。CSIRTは国際間連携をしていくことで、グローバルなセキュリティ対応を実現する重要な存在だ。
企業や組織における情報セキュリティに関する問題――いわゆるセキュリティインシデント――が発生した場合、その対応を行う枠組みを「シーサート(CSIRT=Computer Security Incident Response Team)」という。CSIRTについては、以前の連載でその役割や機能など詳しく紹介した。CSIRTには、大企業や重要インフラを担う企業などでは専任の担当者やチームを組織して部署としての実態を持つものもあれば、プロジェクトチームの形式やコミュニティー、グループといった形態で活動しているチームもある。
このCSIRTの世界的な集まりが「FIRST(Forum of Incident Response and Security Teams)」という国際的な非営利団体だ。現在、44の国と地域のCSIRTがメンバーとして登録され、その数は200以上に上る。FIRSTの主な活動は、国をまたいだCSIRTのネットワークを構築することだ。FIRSTが直接、国際的なセキュリティインシデント対応を行うことはないが、そのような活動を各国のCSIRTが連携してできるように情報の収集、提供、共有をサポートする。事例ごとのベストプラクティスを提供したり、他国のCSIRTとのコミュニケーションを円滑にするためのコーディネーションを行ったりしている。
セキュリティインシデントの対応主体は、あくまでその国や組織の対応チームであり、FIRSTはCSIRT組織の国際的ネットワークにおけるインフラ部分だといえる。
FIRSTは1990年に設立され、すでに20年近い活動を続けているが、設立のきっかけは1988年の「インターネットワーム事件」だという。1988年末に、パスワードクラッキングをする自己増殖型のワームが発見され、その被害は世界規模に広がった。その翌年にCERT/CCが米カーネギーメロン大学内に組織されたが、さらに国際レベルでの情報共有や連携の必要性からFIRSTが発足した。発足当初は、それでもインターネット文化から生まれたほかの組織と同様にコミュニティーの色彩が強いものだったが、Internet Engineering Task Force(IETF)や議会での発表、発言をする機会が増え、非営利団体(NPO)としての法人格や組織実体を持つようになった。
インターネットに関係する組織や人物は自然発生的に横のつながり(ネットワーク)を形成することが多く、個々の企業や組織に存在するCSIRTでも、FIRSTのような組織形態を用いずにネットワークが形成されていくと思われるケースが少なくない。
しかし、かつては広く利用されたUUCPのようにバケツリレー式で問い合わせる仕組みよりは、ハブのような窓口がある方が効率のいいことは明らかだ。ある国で発生したセキュリティインシデントについて、「他国での被害や発生を確認したい」といった場合、FIRSTのような組織があれば情報の交通整理が容易になるし、効率よく情報収集できる。さらにセキュリティに関する情報を扱う場合、特定企業や団体とは独立した中立な組織の存在が重要となることがある。FIRSTのメンバーどうしであればコンタクトもとりやすくなり、両者の調整役として機能することもあるだろう。
特にセキュリティインシデントの被害国同士が情報交換をしたい場合、他国のサーバを調べたり、停止させたりしたいような場合には当事国同士の直接交渉よりも、中立な第三者が介在したほうがスムースに動くことが少なくない。まさに「調整役」(コーディネーター)としての機能である。
なお、FIRSTのメンバーになるには既存メンバーの紹介は必要なるものの、CSIRT組織であれば規模の大小や組織形態などは問わない。メンバーの企業規模はさまざまで、警察や軍関係のインシデント対応チームも参加している。
6月28日〜7月3日までセキュリティに関する国際的なカンファレンスとして、京都でFIRSTの年次総会が開催される。この場では、世界各国のセキュリティインシデント対応チームや専門家、政府機関関係者らが集まり、セキュリティインシデント対応のための国際レベルでの情報共有のため活発な議論や研究成果の発表が行われる。最新のセキュリティインシデント対応に関する情報が得られる場であり、ぜひ注目していただきたい。
関連記事
- セキュリティ事故に備えるシーサート構築術――危機を乗り越えるエキスパート
情報セキュリティ事故は、企業の社会的な信用を失墜させて大きなダメージを与える。完全には防ぎきれない情報セキュリティ事故では、発生後の影響をいかに収束させるかが重要だ。事故に専門で対処する「シーサート」という枠組みが求められている。 - 脅威情報がすぐに分かるWebサイトに、JPCERT/CCがリニューアル
JPCERT/CCがWebサイトを刷新し、注意喚起している情報がすぐに分かるデザインなどを採用した。 - コンピュータ事件に対処するCSIRT構築を、JPCERTが資料公開
JPCERTコーディネーションセンターは、情報セキュリティ事件などでの緊急対応を行う「CSIRT」を構築するための資料を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.