CSIRTが果たすべき「社会的責任」とは:@ITセキュリティセミナー東京・大阪・福岡ロードショー 2017 レポート(3)(4/4 ページ)
被害企業・個人の情報公開が社会の助けになる――辻伸弘氏、piyokango氏、根岸征史氏特別講演
セミナーを締めくくる特別講演では、ソフトバンク・テクノロジー 脅威情報調査室 シニアセキュリティリサーチャーを務める辻伸弘氏、IIJ(インターネットイニシアティブ) セキュリティ情報統括室で同社のCSIRTチームに所属する根岸征史氏、セキュリティブログ「piyolog」を運営するpiyokango氏の3人のセキュリティリサーチャーが登壇。彼らの“生態”とセキュリティリサーチの面白さや難しさを赤裸々に語り合った。
(左から)ソフトバンク・テクノロジー 脅威情報調査室 シニアセキュリティリサーチャー 辻伸弘氏、IIJ(インターネットイニシアティブ) セキュリティ情報統括室 根岸征史氏(piyokango氏は事情によりカット)冒頭で辻氏は、「この講演のメインテーマは、『受け手が役に立つ情報公開・共有の在り方』『受け手が踊らされない情報の見極め方』の2つです」と述べ、セキュリティ情報を発信する側にも受け取る側にも、相応の力が必要であることを示唆した。
「セキュリティリサーチャー」は幅広い意味を持つ用語だが、パネリストの3人は、多くの場合は公開情報を基にセキュリティ事件・事故を調査し、今後のセキュリティ対策に役立つ情報を集め、分析し、まとめるといった仕事を行っている点が共通している。
辻氏は、「平時の情報収集や考察といった活動が、実際の有事に役に立つことが多い」と述べる。だが、有用な情報は大抵がインターネット上にあるため、端から見ると、「ネットサーフィンで遊んでいるように見えてしまう」こともあるそうだ。しかし当然そんなことはない。この意見には、「平時の情報収集で対処方法が分かれば、対策がとりやすくなる」と、根岸氏も同意する。
次に辻氏は、2017年2月に政治家である丸川珠代氏のブログが改ざん被害に遭ったことを取り上げ、「推測の域は出ないが、Wordpressの脆弱性が利用されたのではないかと見ている」と見解を述べた。
「丸川氏のように著名な方は、その情報も広まりやすいもの。被害について、原因や状況を広く伝えていただきたい」と辻氏が述べると、根岸氏も「(IT担当者が)それを見て、同じ被害を未然に防ぐ方法を検討できる」と発言。piyokango氏も、「推測だけでは事実が見えない。被害を受けた方が正確な情報を発表してくれた方が確実」とし、3人ともに被害に遭った組織・個人による情報公開が重要であると訴えた。
「発信される情報を見て対策を講じていない人が多いから被害が減らないのではないかと感じる。ただ、情報を受け取る際には受信者が対策の方法や要/不要を判断しなければならないため、情報の発信者がその危険度をきちんと伝えることも重要だと考えている」(根岸氏)
受信者による情報の見極め方というテーマでは、情報発信の在り方についての問題が指摘された。例えば、ロンドンオリンピックの例では、攻撃件数が“2億件に上った”ことが話題となったが、これだけでは「攻撃が多い」というイメージばかりが先行しがちだという。
「2億件というと多いように見えるが、何と比べているのか。数字よりも大事なことがあるはず。例えば、ロンドンオリンピックでは、CIOまでエスカレーションされたものは6件のみだった。数字よりもむしろ、『どんな攻撃があったのか』『どんな対処を行ったのか』という情報の方が重要だ」(辻氏)
これに対してpiyokango氏は、「恐らく一次情報にはちゃんと情報が含まれていたはず。ところが、二次情報・三次情報になると、(内容が要約されて)数字だけになってしまう。メディアなどには、ぜひ参照情報を入れてほしいと願う」と述べた。
だが、こうした情報を見極めるには、継続して情報を見続けているリサーチャーならでは能力が求められるのではないだろうか? piyokango氏は、「現在は情報受信者のハードルが高い状況にある」と言う。
「経験も必要だが、まずは自分のテリトリーにあるもの、自社で使っているものを意識することが大切だ。その上で、セキュリティ情報が自分にとって影響があるのかどうかを見極めること。何でもかんでもやろうとしてはいけない。情報セキュリティよりも先に重要なのは、情報管理だ」(piyokango氏)
「人間、1人でできることは限られる。時にはSNSを活用したり、互いに協力したりして、楽をしましょう」(辻氏)
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。