セキュリティ対策のネットワークインフラとなるFIRST:インシデント対応チームの国際連携
セキュリティ問題の国際化が進み、その対応にも国際連携が求められる。対応にあたるCSIRTを世界規模で支援するFIRSTの中身を紹介しよう。
前回は、企業や国単位で活動する「シーサート(CSIRT)」の世界的な組織「FIRST」について、その設立背景や役割について解説した。今回は、FIRSTの具体的な国際連携活動について掘り下げてみよう。
前回述べたように、特定のセキュリティインシデントに対してFIRSTが主体的に対応を行ったり、指揮したりすることはない。新しい攻撃や問題が報告されると、情報をメンバーのCSIRTチームへアナウンスしたり、メーリングリストなどで提供したりする。実際のインシデント対応は、個別のチームがFISRTメンバーからの情報も活用して行うことが基本だ。
FIRSTにおける、メンバーの活動について、具体例をいくつか紹介しよう。例えば、コンピュータウイルスの被害発生などがCSIRTに寄せられたとする。しかし自国での報告例が少ないといった場合、その情報やウイルスの検体を持っているチームが他地域にないかという問い合わせを、FIRSTのメンバーリストに出すことがある。これに対して、情報提供を行えるメンバーチームが協力を行ったり、情報を有するCSIRTを紹介したりする。
また、他国にホストされているフィッシングサイトを閉鎖させたい時、その国の「POC(Point of Contact)」となるCERTやCSIRT組織はどこかを調べたいという場合も、FIRSTのメールリングストに問い合わせることになる。既存のメンバーによる厳しい審査を受けて入会している、信頼関係のあるさまざまな国や企業のチームが参加しているFIRSTコミュニティーからの紹介や提供される情報であれば、国同士の利害関係などを超えて信頼性の高い情報が期待できるという側面もある。
このような情報共有は、FISRTがオンデマンドで常時行っている活動の一つだが、イベントとして開催されるものもある。6月に京都市で開催される年次会合(Annual Conference)と年4回ほど開催される「テクニカルクロキア(Technical Colloquia)」だ。どちらのイベントも、脆弱性情報やインシデント事例、対応ツール、そのほかの関連技術や課題について多数の発表や議論が行われる。年次会合はオープンな国際会議として参加者に特に制限はないが、テクニカルクロキアはFIRSTメンバーのみが参加できるイベントである。
このほか、「SIG(Special Interest Group)」という分科会も活動している。主に、以下のようなものがある。
Abuse Handling SIG(AH-SIG):
スパム、フィッシングなどといったインターネットの不正利用について、国際間での調査、情報共有を行い、対策などを話し合う。
Artifact Analysis SIG(AA-SIG):
ウイルスやマルウェアについて、検体の採取、対策方法、解析などについて調査・研究を支援する(なお、情報セキュリティやインシデント対応の文脈で「Artifact」(=人工物、遺跡などの意味がある)といった場合、通常のソフトウェアに本来存在せず、後から作られたものという意味でウイルスなどのことを指す)。
Common Vulnerabilities Scoring System(CVSS-SIG):
脆弱性について、その度合いを指標化、数値化しようという試みを行う。NIAC(National Infrastructure Advisory Council)が仕様を作り、その活動がFIRSTに引き継がれた。
CSIRT Metrics SIG:
CSIRTとしてのスキルを高めるため、機能とパフォーマンスについて評価、改善するための評価基準を検討している。
Internet Infrastructure Venders SIG(Vender-SIG):
OS、コンピュータハードウェア、ネットワーク機器、アプリケーションなどインターネットインフラのベンダーで構成される。ベンダーや業界間の情報共有や議論を行う。
Law Enforcement/CSIRT Cooperation SIG(LECC-SIG):
国際間でのインシデント対応について、主に捜査など協力体制の取り方、プロセスについて議論をする。法規制やその運用が国によって異なるため、共通の手順を決めることや異なるプロセスを連携させる調整を検討する。
Network Monitoring(NM-SIG):
セキュリティやインシデント対応の面からのネットワーク監視、トラフィック分析に関する方法、技術などについて話し合う。
FIRSTは、このような活動を通じてメンバーとなっているCSIRTの国際協調を支援している。メンバーは、北米、南米、ヨーロッパ、アジア、中東など44の国・地域に広がっているが、現在、アフリカ大陸には1つのCSIRTチームしか存在していないという。FIRSTは今後、アフリカ大陸でもCSIRTの普及を推進させていく方針である。
関連記事
- CSIRTネットワークの構築を担うFIRSTとは?
情報セキュリティのリスクが企業での大きな課題になり、専門的に対処する「シーサート(CSIRT)」の枠組みが注目されている。CSIRTは国際間連携をしていくことで、グローバルなセキュリティ対応を実現する重要な存在だ。 - セキュリティ事故に備えるシーサート構築術――危機を乗り越えるエキスパート
情報セキュリティ事故は、企業の社会的な信用を失墜させて大きなダメージを与える。完全には防ぎきれない情報セキュリティ事故では、発生後の影響をいかに収束させるかが重要だ。事故に専門で対処する「シーサート」という枠組みが求められている。 - 脅威情報がすぐに分かるWebサイトに、JPCERT/CCがリニューアル
JPCERT/CCがWebサイトを刷新し、注意喚起している情報がすぐに分かるデザインなどを採用した。 - コンピュータ事件に対処するCSIRT構築を、JPCERTが資料公開
JPCERTコーディネーションセンターは、情報セキュリティ事件などでの緊急対応を行う「CSIRT」を構築するための資料を公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.