JNSAメールマガジン 第64号 2015.7.3☆★☆
(一般社団法人JPCERTコーディネーションセンター 村上 晃)
みなさんこんにちは、今月より3回にわたってCSIRT(Computer Security IncidentResponse Team;以下「CSIRT」(シーサートと読む)といいます。)について連載コラムを担当させていただきます。まずは私の所属する一般社団法人JPCERTコーディネーションセンター(Japan Computer Emergency Response TeamCoordinationCenter;以下「JPCERT/CC」といいます。)のご紹介をさせてください。
JPCET/CCは経済産業省の委託を受け、国内のあらゆる分野を対象とするコンピュータセキュリティインシデント対応チームとして、コンピュータセキュリティインシデント(以下「インシデント」といいます。)対応の支援やソフトウエアなどの脆弱性情報の調整、セキュリティ上の脅威に関連した情報の収集・分析・提供などの活動を行い、海外に対しては国際連携が必要なオペレーションや情報連携に関する日本の窓口CSIRTとして機能している民間の非営利団体です。
「皆様こんにちは。」というと、読者の皆様はフィッシングメールや標的型攻撃のメール等の冒頭挨拶文のように思われるかもしれませんね。もしこんなメール文面で添付ファイルが付けられたメールを受け取ったら、皆様はどう対応されますか?添付されているドキュメントを開いてしまって、文面も何も表示されずちょっとおかしいな〜と思われた時など、もしかすると組織内にマルウエアの感染などの情報漏えいなどの被害につながる状況になっているかもしれません。そんなときに相談や報告する窓口とかが読者の皆様の組織にはあるでしょうか?あるいは私共JPCERT/CCからこうしたインシデントに関連する情報をご連絡したい場合に、ご連絡可能な窓口や連絡先等が外部からもわかるように組織内で明確化されていますでしょうか?
昨今こうしたインシデントに対応する専門のチームの有効性や必要性が注目されています。
今月からインシデントに対応する組織内CSIRTについて、第1回目は「CSIRTの必要性」、第2回目は「CSIRTの構築」、第3回目は「CSIRTの運用」と3回に分けてお届けします。
今までのセキュリティ対策はどちらかと言うとインシデントの未然防止に重点を置いた対策が中心でした。しかし実際には、インシデントを100%完全に防ぐ策を講じることは現実的に難しいと言えます。例えば、次のような事例や状況を考えてみましょう。
今までのセキュリティ対策はどちらかと言うとインシデントの未然防止に重点を置いた対策が中心でした。しかし実際には、インシデントを100%完全に防ぐ策を講じることは現実的に難しいと言えます。例えば、次のような事例や状況を考えてみましょう。
つまり技術的な対策や人的な予防策を講じ、運用を工夫することでインシデントの発生確率を低減することは可能ですが、インシデントそのものの発生を完全に防ぐことはできないことがご理解いただけるのではないでしょうか?
情報セキュリティを取り巻く環境はめまぐるしく変化していて、新しい攻撃手法が次々に繰り出されるなど、その中ですべての攻撃を完全に防ぐような技術や知恵は期待し難いと言えるでしょう。まさにインシデントの発生を前提にして、あらかじめ事前準備をしておくことが、実はセキュリティ対策には被害の最小化や、インシデントの封じ込みには重要なのです。
こうしたインシデント発生を前提としてセキュリティ対策を考えたとき、インシデントを検知した場合あるいは報告を受けた場合には、その全体像をすみやかに把握し、脅威にさらされている情報システムや、ネットワーク、さらには個人情報など機微な情報を含むデータへの被害の拡大を抑止して、影響範囲を極小化するとともに、迅速な復旧を行うことが求められます。またこれを完遂するためには、予防策に加え、万が一の発生時に機能する、有事対応機能・ルールを用意しておくことが重要になります。このような対応体制の構築や、対応方法の検討は、インシデントが発生する前に用意周到に準備する必要があります。その理由はインシデント対応自体の成否が、早期の復旧や被害の拡大防止ができるかどうかを左右し、実は事業継続にも深く関わっているからなのです。
インシデントの対応に際して、組織の要となる専門機能がCSIRTとなります。ここでは、CSIRTの設置が必要な理由を考えてみましょう。
組織内のPCや情報システムに付随して、私たちの情報システムや利用環境であるインターネットには様々な脅威が存在します。しかも、私たちを取り巻くIT環境においては、インシデントの発見、原因の特定、復旧などが困難に、あるいは手間がかかるようになってきています。それはシステムが複雑化し、汎用化したことによって、インシデント自体が複雑化する傾向にあり、さらには関連した別のシステムに影響が伝播する速度が非常に速くなっているからなのです。一方で、攻撃手法が変化し、特定組織だけを狙った、目立たないが長期的に続けられる情報窃取や業務妨害のような攻撃の事例も少なからず散見されるようになってきていいます。最近メディアや報道で「標的型攻撃」と言われる、所謂高度化したサイバー攻撃やソフトウエアの脆弱性を使用したゼロデイ攻撃などを伴うインシデントに効果的に対応するためには、高い専門性が必要となってきています。
インシデント対応のための体制を考えるときには、情報セキュリティのリスク対応をどのようにするかがポイントになります。一般に、情報セキュリティ上のリスクは、情報資産(PC、サーバ、ネットワーク、個人情報、機微情報などを含む)が脅威にさらされた時、何らかの運用管理面あるいはシステム面の脆弱性が存在する場合にリスクとして顕在化します。脆弱性そのものを作り込まなければリスクの発生を抑えられるのですが、脆弱性を完全に取り除くことはできません。したがって、JPCERT/CCの脆弱性に関する発信情報などを参考に、情報システムやネットワークに対する攻撃動向の情報を収集し、関連する脆弱性について事前の対応をしたり、監視を強化したりしつつ、いざインシデントが発生した場合には迅速にそれを検知し、事業継続上の課題を解決し、被害を最小限にとどめるような、組織的なインシデント対応活動が重要なのです。このため、最近ではインシデント対応の専門機能としてCSIRTを構築し整備することが重要視されてきています。
ここまでCSIRTの重要性や必要性についてご説明してきました。
次回は実際にCSIRTを構築するためのポイントをご紹介したいと思います。
【部会・WG便り】
★JNSA社会活動部会主催「ライトニングトーク夏祭り 2015」開催!
参加者(聴講者、発表者)募集中です。
ライトニングトークのテーマは、情報セキュリティに少しでも関わっていればどのようなものでも構いません。JNSA会員であればどなたでも登壇可能です。
日時:2015年7月30日(木)16:00〜20:00
会場:スタンダード会議室 虎ノ門スクエア2階
お申込みはJNSA事務局までお願いします。
【事務局からの連絡、お知らせ】
★JNSA設立15周年記念論文募集のお知らせ
設立15周年イベントの一環としてセキュリティに関する論文を募集します。募集要項は以下URLよりご確認ください。
https://www.jnsa.org/seminar/2015/nssf15/paper.html
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
*************************************
JNSAメールマガジン 第64号
発信日:2015年7月3日
発行: JNSA事務局
*************************************