ゆるやかなコラボレーション目指す「JNSA-CERC」設立へ：ベンダーやSIer視点のセキュリティ情報窓口を

日本ネットワークセキュリティ協会（JNSA）は、ソフトウェアベンダーやシステムインテグレーター、セキュリティ企業やSOCサービス事業者らがセキュリティ事象に関する情報を交換する「JNSA-CERC」（JNSA Computer Emergency Response Collaboration）の設立に向けた活動を開始した。

[高橋睦美，＠IT]

　日本年金機構に対する標的型攻撃をきっかけに、サイバー攻撃による被害が相次いで報告されている。それも、昨日や今日攻撃を受けたのではなく、よくよく調査してみたところ、実は数カ月前から感染していた事実が明るみになったというケースが少なくない。この事実を踏まえると、情報を流出させるマルウエアへの感染を防ぐ取り組みだけでなく、感染にいち早く気付き、被害を最小限に抑える運用やインシデント対応と、組織や企業をまたいだ情報共有の重要性が浮かび上がってくる。

JNSA/日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏

　こうした状況を背景に日本ネットワークセキュリティ協会（JNSA）は、JNSA-CERC（JNSA Computer Emergency Response Collaboration）の設立に向けた活動を開始した。名称が示す通りチームではなく「コラボレーション」を主眼とした緩やかな取り組みで、JNSA会員を中心に、2015年7月の設立を目指して準備を進めている。

　JNSA-CERCは、ソフトウェアベンダーやシステムインテグレーター、セキュリティ企業やSOCサービス事業者らがセキュリティ事象に関する情報を交換し、対外的な窓口（Point of Contact：POC）として対応するための枠組みだ。

　既に、脆弱性や攻撃に関する情報を集約、流通する枠組みとしてはJPCERT/CCやJVNが存在し、注意喚起や通報を行っている。また多くの企業や組織がインシデント対応に取り組む「CSIRT」の構築を進めている他、重要インフラを中心に特定業界での情報共有を推進するISACも活動を行っている。

代表的なCSIRT関連組織の分析（高橋氏の資料より）

　しかし、JNSA/日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏は、「IT化が進む中、この枠組みからこぼれ落ちるエリアが増えてきている」と指摘する。

　例えば「検索エンジンのキャッシュに残されたクリティカルな情報を消したい」といったコンテンツに関する問題も出てきているが、従来のCSIRTの枠組みではハンドリングが難しい。そこでJNSA-CERCでは、脆弱性や通信障害といった技術関連のトピックだけでなく、こうした既存の仕組みではハンドリングできなかった問題もすくい上げていく。「これまで問題として認識されなかったIT上の課題、誰に相談すべきか分からなかった案件、誰が拾うべきか分からなかった問題を捕らえ、取り組んでいく」（高橋氏）。

JNSA-CERCのフォーカス領域（高橋氏資料より）

　同時にPOCとして、JPCERT/CCやCSIRT協議会など、他のCSIRTとの連携も模索していく。現在の脆弱性情報流通の仕組みでは、脆弱性が存在するOSやアプリケーションのベンダーには情報が行っても、それを利用してシステム構築・運用を行ってきたシステムインテグレーターが脆弱性を知るのは公表後となる。JNSA-CERCではこれら脆弱性情報についても、例えばシステムインテグレーターが把握する実装状況などの知見に基づいたアラートの出し方に取り組んでいくという。

　さらに、定期的なミーティングや、関係機関との連携も視野に入れた演習、緊急対応などにも取り組み、知見を蓄積していく方針だ。「2020年に向けて、ITベンダーやシステムインテグレーターとしてできることに取り組んでいきたい。今からやらなくては間に合わない」（高橋氏）としている。