日常のニュースの中で「サイバー攻撃」や「サイバー犯罪」といった言葉を見聞きするのが、もはや珍しいことではなくなった。
近年の政府関連機関や日本企業に対する「標的型攻撃」の増加や、インターネットにおける大規模なDDoS攻撃、フィッシング詐欺の横行は、主要な情報インフラとなったインターネットのセキュリティ向上に向けて、さまざまな企業や組織が広く連携して取り組んでいくことの必要性を浮き彫りにした。従来のような、個人や一部の組織、セキュリティ企業による個別の努力では、予防や対処が難しいレベルへと、攻撃の技術や手口が高度化してきているためだ。
この状況に対応するため、日本においても、サイバー攻撃への組織的な対処を行ったり、社会的な情報セキュリティのレベルを向上させることを目的に、政府機関やIT関連事業者による連携の動きが活発になっている。
「セキュリティオペレーション」関連のサービスを提供する事業者によって組織された日本セキュリティオペレーション事業者協議会(ISOG-J)も、そうした取り組みに積極的に参画している団体のひとつだ。
同団体では、総務省や警察庁と共同で、ネット上でのビジネス展開や情報提供を行っている企業に向けた脆弱性診断などのセキュリティ診断サービスを広く理解し、有効に活用してもらえるガイドラインを策定。その内容を「サイバー攻撃からビジネスを守る ~セキュリティ診断サービスガイド~」(NTT出版)という書籍にまとめた。
こうしたガイドラインを作成した意図や、同団体におけるさまざまな情報共有や連携の取り組みについて、ISOG-J代表の武智洋氏およびその加盟企業であるSCSKで、ITマネジメント第一事業本部セキュリティソリューション部Webセキュリティソリューション課マネージャーを務める長尾亮氏に話を伺った。長尾氏は、Webアプリケーション脆弱性診断のガイドライン作成にも参加している。
関連記事 : セキュリティ キーパーソン (1) OWASP 岡田氏
関連記事 : セキュリティ キーパーソン (2) 日本CSIRT協議会 村上晃氏
プロフィール武智 洋(TAKECHI Hiroshi)
――CISSP。ラック セキュリティ事業本部 担当部長、日本セキュリティオペレーション事業者協議会(ISOG-J)代表、警視庁 コンピュータウィルス関連犯罪協議会 委員、WASForum Hardening Project実行委員
2008年3月よりラックに勤務。ITセキュリティおよびサイバーセキュリティ関連のシステム開発と監視サービス部門を経た後、現在は、主に官公庁向け対応に従事。以前は、約22年間に渡り、プラント制御メーカにおいて研究開発とセキュリティビジネスの立ち上げに従事した経験を持つ。長尾 亮(Nagao Ryo)
――SCSK ITマネジメント第一事業本部 セキュリティソリューション部 Webセキュリティソリューション課 マネージャー
Webアプリケーションエンジニアを経て2007年よりセキュリティ関連の業務に携わっている。年間40サイト以上の脆弱性診断に従事する一方、数多くの企業においてトレーニングを実施し、セキュリティ診断の内製化支援を手掛けている。 また海外のセキュリティ製品を取り扱っており、ワールドワイドでのセキュリティ事情にも精通。
セキュリティオペレーションの重要性を啓発する「ISOG-J」
――最初に、ISOG-Jがどういった目的を持つ団体なのかについて聞かせて下さい。
武智 : ISOG-Jは「Information Security Operation providers Group Japan」の略になります。セキュリティオペレーション事業者の業界団体として2008年6月に設立され、現在はNPOである日本ネットワークセキュリティ協会(JNSA)所属の組織として活動しています。
ISOG-Jは、ユーザーが「セキュリティオペレーション」の導入にあたって「RFPが書けない」という状況を変えるために何かできないだろうかという問題意識からスタートしています。
ISOG-J代表の武智洋氏 |
セキュリティオペレーションというのは、企業の情報システムに対して、特にセキュリティ面に関連した運用を請け負うサービスなのですが、この「セキュリティオペレーション」という業務について、当時はさまざまな事柄が企業によってまちまちで、また、その問題について議論する場もないといった状況でした。
セキュリティオペレーションとして提供されているサービスには、運用監視をはじめとして、脆弱性診断、フォレンジック、緊急対応など、幅広い分野が含まれます。ITシステムのライフサイクルで考えれば、オペレーションに相当する「運用」の部分が最も長期にわたる重要な要素であるにもかかわらず、ここに関する課題を検討したり、情報交換ができる場がなかったのですね。
そうした背景のもと、ISOG-Jは「オペレーターの人材育成、および関係する組織・団体間の連携を推進することによって、セキュリティオペレーションサービスの普及とサービスレベルの向上を促し、安全で安心して利用できるIT環境実現に寄与する」ことを目的として設立されました。設立当初は10団体で、2013年現在は22社が加盟しています。SCSKさんも、その中の1社です。
――具体的な活動内容はどのようなものですか?
武智 : ひとつは、ユーザーに対して「セキュリティオペレーションとは何か」について啓発する活動です。例えば、「脆弱性診断はどう調達すればいいか」「セキュリティに配慮した運用をどう行えばいいか」「SOC(Security Operation Center)事業者をどう選べばいいか」といった疑問に対して、何らかのガイドラインを提供していこうというものです。
もうひとつは、セキュリティオペレーションの現状についての情報提供を行うこと。加えて、セキュリティオペレーション事業者間の横の連携を作り、情報交換の場を設けることです。
ISOG-Jのオブザーバーとしては、経済産業省や総務省、アドバイザーとして北陸先端科学技術大学院大学の篠田陽一教授に就任していただいています。関連団体としては、JPCERT/CC、IPA、財団法人インターネット協会、WASフォーラムがあり、これら全体を通じた連携のオーガナイズなども行っています。
――ワーキンググループ(WG)による活動も活発に行われているようですね。
武智 : ISOG-Jには、現在5つのWGがあります。
セキュリティオペレーション事業者の提供するサービスを選別する際に参考にするガイドラインを作成する「セキュリティオペレーションガイドラインWG」、最新のセキュリティオペレーション技術の探求と技術者の交流を目的とした「セキュリティオペレーション技術WG」、セキュリティオペレーション事業者やサービスの利用組織が特に認識しておくべき関連法規について整理する「セキュリティオペレーション関連法調査WG」、セキュリティオペレーションの必要性について社会的に広報していく「セキュリティオペレーション認知向上・普及啓発WG」といったものが設立当初から存在するWGです。
2011年7月からは、これらに加え、5つめの「標的型攻撃対策検討WG」が活動を開始しています。標的型攻撃が盛んになりはじめたころから、攻撃に関連する情報を集め、抽出して、いかにセキュリティオペレーションに生かすかについては重要なテーマになっていたのですが、それを単体の企業で行うことは難しいため、WGとしてスタートさせました。ここでは、実態調査や防御策についての検討を行っています。
デリケートな情報の共有は当事者同士のフェイス・トゥ・フェイスでの信頼関係が基本になります。それは、日本でも海外でも一緒ですね。こうした情報共有はセキュリティオペレーション事業者にとっても「タフ」な分野ではありますが、このWGでは、それをやっていこうと取り組んでいます。
――SCSKさんがISOG-Jに参加した経緯は、どういったものだったのでしょうか。
SCSK ITマネジメント第一事業本部セキュリティソリューション部Webセキュリティソリューション課マネージャーの長尾亮氏 |
長尾 : SCSKでは、2003年以降ネットセキュリティの分野でさまざまなビジネスを展開してきました。その中には、SOCの構築支援やWebアプリケーション脆弱診断サービスも含まれています。今回、ISOG-Jで「脆弱性診断のガイドライン」を作成するということで、OWASP Japanの岡田様を通じてお声かけをいただき、これまでのビジネスの中から貢献できることがあるのではと思い、参加させていただきました。
武智 : 先ほど紹介した「セキュリティオペレーションガイドラインWG」では、これでも運用監視に関するガイドラインを出してきました。今回新たに、経済産業省、総務庁、警察庁の関係各省庁の筆者の方と一緒に脆弱性診断に対するガイドラインを作り、それを書籍化しようという活動を行いました。
その成果物が「サイバー攻撃からビジネスを守る ~セキュリティ診断サービスガイド~」(NTT出版)として、2月25日に発売されています。