JNSAメールマガジン 第64号 2015.7.3☆★☆

こんにちは
JNSAメールマガジン 第64号 をお届けします。

今年の7月22日から24日にかけてシンガポールで開催される「RSA Conference Asia Pacific & Japan 2015」で、JNSAでは海外市場開拓WGメンバーが中心となりブース出展をいたします。シンガポールでの開催とはなりますが、JNSA会員企業は割引特典(100シンガポールドル)もご利用いただけますので、ぜひ興味ある方は御申込下さい!
また、ぜひJNSAブースへもぜひお立ち寄り下さい!
さて、リレーコラムは、CSIRTに関する寄稿を3回にわたって連載します。 1回目の今回は、一般社団法人JPCERTコーディネーションセンター 村上晃様にご寄稿いただきました。

【連載リレーコラム(1)】
「第1回:CSIRTの必要性」

(一般社団法人JPCERTコーディネーションセンター 村上 晃)

【JPCERT/CC(じぇーぴーさーと/しーしー)って?】

みなさんこんにちは、今月より3回にわたってCSIRT(Computer Security IncidentResponse Team;以下「CSIRT」(シーサートと読む)といいます。)について連載コラムを担当させていただきます。まずは私の所属する一般社団法人JPCERTコーディネーションセンター(Japan Computer Emergency Response TeamCoordinationCenter;以下「JPCERT/CC」といいます。)のご紹介をさせてください。

JPCET/CCは経済産業省の委託を受け、国内のあらゆる分野を対象とするコンピュータセキュリティインシデント対応チームとして、コンピュータセキュリティインシデント(以下「インシデント」といいます。)対応の支援やソフトウエアなどの脆弱性情報の調整、セキュリティ上の脅威に関連した情報の収集・分析・提供などの活動を行い、海外に対しては国際連携が必要なオペレーションや情報連携に関する日本の窓口CSIRTとして機能している民間の非営利団体です。

【こんなメールを受け取ったら読者の皆様の対応は?】

「皆様こんにちは。」というと、読者の皆様はフィッシングメールや標的型攻撃のメール等の冒頭挨拶文のように思われるかもしれませんね。もしこんなメール文面で添付ファイルが付けられたメールを受け取ったら、皆様はどう対応されますか?添付されているドキュメントを開いてしまって、文面も何も表示されずちょっとおかしいな〜と思われた時など、もしかすると組織内にマルウエアの感染などの情報漏えいなどの被害につながる状況になっているかもしれません。そんなときに相談や報告する窓口とかが読者の皆様の組織にはあるでしょうか?あるいは私共JPCERT/CCからこうしたインシデントに関連する情報をご連絡したい場合に、ご連絡可能な窓口や連絡先等が外部からもわかるように組織内で明確化されていますでしょうか?

昨今こうしたインシデントに対応する専門のチームの有効性や必要性が注目されています。

今月からインシデントに対応する組織内CSIRTについて、第1回目は「CSIRTの必要性」、第2回目は「CSIRTの構築」、第3回目は「CSIRTの運用」と3回に分けてお届けします。

【インシデントへの対応と環境の変化】

今までのセキュリティ対策はどちらかと言うとインシデントの未然防止に重点を置いた対策が中心でした。しかし実際には、インシデントを100%完全に防ぐ策を講じることは現実的に難しいと言えます。例えば、次のような事例や状況を考えてみましょう。

今までのセキュリティ対策はどちらかと言うとインシデントの未然防止に重点を置いた対策が中心でした。しかし実際には、インシデントを100%完全に防ぐ策を講じることは現実的に難しいと言えます。例えば、次のような事例や状況を考えてみましょう。

    (1)人為的なミス(パッチの適用忘れや、適切な管理ができていないなど)による情報漏えいや流出
    (2)未知の(所謂公知になっていない)脆弱性を悪用したゼロデイ攻撃
    (3)データやサービスのクラウド化によるセキュリティ対策のための管理手法や脅威を防御する手法の技術的な限界(IPS:侵入防御システムやIDS:侵入検知システムなどのセンサー防御の誤検出など)
    (4)組織の従業員のセキュリティ意識の低下やモラルの欠如など様々な要因による事故発生等

つまり技術的な対策や人的な予防策を講じ、運用を工夫することでインシデントの発生確率を低減することは可能ですが、インシデントそのものの発生を完全に防ぐことはできないことがご理解いただけるのではないでしょうか?

情報セキュリティを取り巻く環境はめまぐるしく変化していて、新しい攻撃手法が次々に繰り出されるなど、その中ですべての攻撃を完全に防ぐような技術や知恵は期待し難いと言えるでしょう。まさにインシデントの発生を前提にして、あらかじめ事前準備をしておくことが、実はセキュリティ対策には被害の最小化や、インシデントの封じ込みには重要なのです。

こうしたインシデント発生を前提としてセキュリティ対策を考えたとき、インシデントを検知した場合あるいは報告を受けた場合には、その全体像をすみやかに把握し、脅威にさらされている情報システムや、ネットワーク、さらには個人情報など機微な情報を含むデータへの被害の拡大を抑止して、影響範囲を極小化するとともに、迅速な復旧を行うことが求められます。またこれを完遂するためには、予防策に加え、万が一の発生時に機能する、有事対応機能・ルールを用意しておくことが重要になります。このような対応体制の構築や、対応方法の検討は、インシデントが発生する前に用意周到に準備する必要があります。その理由はインシデント対応自体の成否が、早期の復旧や被害の拡大防止ができるかどうかを左右し、実は事業継続にも深く関わっているからなのです。

【組織内CSIRTの必要性】

インシデントの対応に際して、組織の要となる専門機能がCSIRTとなります。ここでは、CSIRTの設置が必要な理由を考えてみましょう。

組織内のPCや情報システムに付随して、私たちの情報システムや利用環境であるインターネットには様々な脅威が存在します。しかも、私たちを取り巻くIT環境においては、インシデントの発見、原因の特定、復旧などが困難に、あるいは手間がかかるようになってきています。それはシステムが複雑化し、汎用化したことによって、インシデント自体が複雑化する傾向にあり、さらには関連した別のシステムに影響が伝播する速度が非常に速くなっているからなのです。一方で、攻撃手法が変化し、特定組織だけを狙った、目立たないが長期的に続けられる情報窃取や業務妨害のような攻撃の事例も少なからず散見されるようになってきていいます。最近メディアや報道で「標的型攻撃」と言われる、所謂高度化したサイバー攻撃やソフトウエアの脆弱性を使用したゼロデイ攻撃などを伴うインシデントに効果的に対応するためには、高い専門性が必要となってきています。


インシデント対応のための体制を考えるときには、情報セキュリティのリスク対応をどのようにするかがポイントになります。一般に、情報セキュリティ上のリスクは、情報資産(PC、サーバ、ネットワーク、個人情報、機微情報などを含む)が脅威にさらされた時、何らかの運用管理面あるいはシステム面の脆弱性が存在する場合にリスクとして顕在化します。脆弱性そのものを作り込まなければリスクの発生を抑えられるのですが、脆弱性を完全に取り除くことはできません。したがって、JPCERT/CCの脆弱性に関する発信情報などを参考に、情報システムやネットワークに対する攻撃動向の情報を収集し、関連する脆弱性について事前の対応をしたり、監視を強化したりしつつ、いざインシデントが発生した場合には迅速にそれを検知し、事業継続上の課題を解決し、被害を最小限にとどめるような、組織的なインシデント対応活動が重要なのです。このため、最近ではインシデント対応の専門機能としてCSIRTを構築し整備することが重要視されてきています。

ここまでCSIRTの重要性や必要性についてご説明してきました。

次回は実際にCSIRTを構築するためのポイントをご紹介したいと思います。


    <筆者プロフィール> 村上 晃( むらかみ あきら)
    【経歴】 1986年に株式会社ラックに入社し、メインフレーム、UNIX OSを含むDBMSを中心とした金融、製造業の情報系システム開発、及びシステムコンサルティング業務に従事。2005年、セキュアネットサービス事業本部にてセキュリティコンサルティング業務に携わった後、2007年、サイバーリスク総合研究所 主幹研究員を務める。
    その後、2008年に一般社団法人JPCERTコーディネーションセンターの常勤職員として、総務省・経済産業省の連携プロジェクトであるボット対策事業に加わる。
    2012年に同社にてセキュリティアカデミー専任講師として活動後、一般社団法人JPCERTコーディネーションセンター経営企画室兼エンタープライズサポートグループ部門長兼早期警戒グループ担当部門長を兼任。国内企業への早期警戒情報の提供を行うほか、日本シーサート協議会運営委員として、組織内CSIRTの構築支援・普及啓発活動に取り組み、マルウエア対策研究人材育成ワークショップ(MWS)の組織委員会委員としてセキュリティ人材育成についても活動を行っている。


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】

★JNSA社会活動部会主催「ライトニングトーク夏祭り 2015」開催!
 参加者(聴講者、発表者)募集中です。
 ライトニングトークのテーマは、情報セキュリティに少しでも関わっていればどのようなものでも構いません。JNSA会員であればどなたでも登壇可能です。

  日時:2015年7月30日(木)16:00〜20:00
  会場:スタンダード会議室 虎ノ門スクエア2階

 お申込みはJNSA事務局までお願いします。

【事務局からの連絡、お知らせ】

★JNSA設立15周年記念論文募集のお知らせ
 設立15周年イベントの一環としてセキュリティに関する論文を募集します。募集要項は以下URLよりご確認ください。
 http://www.jnsa.org/seminar/2015/nssf15/paper.html


★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。


☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第64号 
発信日:2015年7月3日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.