日本の窓口CSIRTとして国際的な連携を担う
JPCERTコーディネーションセンター(略称:JPCERT/CC(Japan Computer Emergency Response Team Coordination Center、以下JPCERT/CCという。)は、国内で発生したセキュリティインシデントへの対応のほか、脆弱性情報のハンドリングやセキュリティ情報の収集・分析・発信などを通じて、インシデントの予防、予測と捕捉、発生したインシデントへの対応に務める組織である。JPCERT/CCの理事で分析センター長を務める真鍋敬士氏は、「私たちは、日本の窓口CSIRT(Computer Security Incident Response Team)として、国内のセキュリティレベルを向上させるためにさまざまな活動を行っています」と述べる。
JPCERT/CCの真鍋敬士氏が講演を行うセミナー「ネットワーク・セキュリティ・インフラの全貌」の申し込みはこちら(参加費無料、9月27日金曜日開催、東京・竹橋) |
JPCERT/CC 理事 分析センター長 真鍋敬士氏 |
CSIRT(読み:しーさーと)とは、コンピュータセキュリティに関する情報を収集し、セキュリティインシデントの未然防止や発生した場合の被害の拡大防止のための具体的な手段を講じることができるチームのことを言う。国や地域を跨いで広がるインターネットにおけるセキュリティインシデントが当該の国内に閉じるとは限らない。そのため問題の収束には、信頼関係のうえでの国際的な情報交換や連携・協力が重要となる。その役割を担うのが窓口CSIRTである。
「ある国内企業が攻撃を受けたとして、攻撃元を管轄する海外の組織へ直接連絡して対応を依頼するというのは一般的には困難です。そこで私たちが窓口となり、世界各国にあるCSIRTと協力して、事態の収拾に当たります。組織名にある「/CC」はコーディネーションセンターの略称であり、国内外のコーディネータとして活動するCSIRTであることを示しています」(真鍋氏)。
一組織での対応はすでに困難、情報共有を要としたCSIRTを
JPCERT/CCには、さまざまなセキュリティ情報を収集・解析し、さまざまなインシデントに対処してきた実績がある。その分析によれば、現在の傾向として「Webサイト改ざん」と「フィッシングサイト」の深刻さが増しているという。「特に、金融サービスの利用者を狙う攻撃が増えています。手口自体は古くから存在しますが、金融サービスに関する情報を窃取するための攻撃ツールが出まわったり、正規サイトと見分けがつかないほど精巧な偽サイトが用意されたりと、巧妙化しています」(真鍋氏)。
また近年では「標的型攻撃」に関する情報提供や相談も増えてきているという。「これには、攻撃を受ける側での意識の高まりや業界における取組みによる効果が含まれていることは間違いありません。恐れるべきことは顕在化した攻撃数の多さではなく、攻撃が潜行していた期間の長さです。深刻な事例の多くは、攻撃期間が半年から数年に及んでいます」(真鍋氏)。
標的型攻撃では、未修正の脆弱性を積極的に悪用するだけではなく、ファイル名やアイコンを偽装するなどして利用者を欺こうとするケースも少なくないという。いずれにせよ、組織内外で情報を共有し、適切に情報を流通させることが重要だと真鍋氏は主張する。そのためにも、一般の企業・組織におけるCSIRTの役割が大きいと語る。「セキュリティレベル向上のためには、単にセキュリティ技術・製品による対策を講じるだけでなく、的確にインシデント対応ができるようなCSIRTの構築が重要です」(真鍋氏)。
JPCERT/CCでは、各組織がCSIRTを構築するための情報として、設計から構築、運用までをまとめたドキュメントをホームページ上で公開している。「CSIRTは、組織内のセキュリティ対策やインシデント対応の陣頭指揮を取るだけでなく、組織内外で連携を図る顔にならなければなりません。形式にこだわらず、顔となる人やチームを明確にすることから始めるのがよいでしょう」(真鍋氏)。
9月27日(金)に開催されるセミナー「今そこにある危機を具体的に洗い出し、対策をまとめて解説! ネットワーク・セキュリティ・インフラの全貌」において、真鍋氏は、JPCERT/CCが保有するさまざまな情報と事例を基に、最新のセキュリティ事情とインシデント対応の実際について講演する予定だ。