2005年度2004年度2003年度2002年度2001年度2000年度
セミナー2001年
17日報告
「CSIRTによるコンピュータ・セキュリティ・インシデントへの取り組み」

 情報処理振興事業協会(IPA)
 セキュリティセンター
 佐藤 慶浩


CSIRTは「Conputer Security Incident Response Team」のことで、コンピュータ・セキュリティに関する事故が発生した場合に対応するために組織内に事前に準備された連絡窓口(POC: Point of Contact)から、何らかの事象が発生した場合に連絡を受けて実際の対応に当たる組織を意味します。

佐藤氏の講演では、POCやCSIRTの考え方やフレームワークを理解し、組織を作る上での留意事項や注意点、効果的に運用する方法論について説明されました。

まず、インシデントと呼ばれる緊急対応が必要な問題に対応するために、事前プランニングの重要性や、インシデント対応のフレームワークについて概要が解説されました。サイトと個々のCSIRT、更に上位のCSIRTフォーラムと呼ばれる組織(例えばFIRSTのような)についての相互関係と役割について話されました。

CSIRTの発足に関するガイドラインとして、何を(ミッションステートメント)、誰に対して(サービス対象)、位置付け(組織内の)、誰と(外部との関係)についてのフレームワークを考える必要があることが紹介されました。

CSIRTの発足に関して大切なことは外部との関係で、他のCSIRTとの関係やCSIRT間における階層構造、更には警察などの法律執行機関との連携、報道機関との連絡などもあげられました。特に関係者間の連絡体制の確立が重要で、POC間、CSIRT間、CSIRTとPOC間(複合)でのインシデントが発生した際の連絡体制について、あらかじめ位置付けを考えておくことが必要です。CSIRT間の連絡は定常的に行われるべきものですが、非常時には直接サイトのPOC間や複合的な連絡体制を使うことになります。

関係サイトとの情報交換の目的は、調査の依頼やインシデントの解決や拡大防止、再発防止策の検討などですが、サイト(POC)へ直接連絡する場合は、インターネットレジストリに登録されている連絡先や、当該サイトを管理しているポストマスタ、DNSのSOAレコードに登録されたメールアドレスなど、考えられる連絡先から適切な窓口をいくつか選択することになります。

まとめとしてインシデント対応の重要性について、事前対応と事後対応、自組織の被害の軽減とネットワーク社会における責任とのバランスを取ることがあげられ、何か事故が発生した場合にパニックにならずに適切な対応が取れるような事前のプランニングが重要であることが強調されました。例えば火事になったときには冷静に119番通報するような訓練を常時心がけておくのと似ています。

最後にCSIRTの発足と連携の必要性について、効率の良い運営による総合的な支出の低減などについて述べられました。

CSIRTはまだ新しい言葉かもしれませんが、その役割は今後のネットワークセキュリティの実現と運用にとって、非常に重要な位置付けとなります。インターネットの利用がますます社会的な重要性をもってくるとき、運用に携わる関係者は更に真剣に取組む議論すべき事柄でしょう。 この講演は、このような問題提起と意識改革を図るものとして大きな意義があったと思い ます。

株式会社ディアイティ
安田 直義

連絡先リンク・ロゴ使用について

copyright