FIRSTカンファレンスレポート
音楽の都で奏でられたCSIRTの協奏曲
三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 セキュリティフォース
セキュリティアナリスト
塩見 友規
2011/10/13
6月12日から17日にかけて、オーストリア・ウィーンで「FIRSTカンファレンス」が開催されました。世界中のCSIRT(Computer Security Incident Response Team)関係者が集まったこの会合の模様をお伝えします(編集部)
2011年6月12日から17日にかけて、オーストリア・ウィーンにてCSIRT(Computer Security Incident Response Team)の国際的な組織であるFIRST(Forum of Incident Response and Security Teams)の年次会合(以下、「FIRSTカンファレンス」)が開催されました。
今回、そのFIRSTカンファレンスに参加する機会を得ましたので、その内容を筆者の感想とともに紹介します。
そもそもCSIRTとは何か?
まず、そもそもCSIRTとは何かについて説明します。
CSIRTとは、日本のCSIRTコミュニティとして設立された日本シーサート協議会のWebサイトによると、「コンピュータセキュリティにかかるインシデントに対処するための組織の総称を指し、インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をする」と定義されています。
上記の定義だけだと少し漠然としていますね……。もう少し具体的な例を挙げてみましょう。CSIRTはしばしば、消防署に例えられます。先人にならって、ここでも消防署に例えて考えてみましょう。
もし近所で火災が発生したら、皆さんはまず何をするでしょうか?
とりあえず消火器で火を消そうとしますか? 小規模な火災であれば、消火器で消火できる場合もありますが、大きな火災となると簡単には対処できませんよね。個人では手に負えない大きな火災が発生した場合はどうしますか?
消防署に連絡をする? そうですね。火災が発生した際に、119番に電話をかけると、消防隊が駆けつけて消火作業を実施してくれます。
火災が発生したときは消防署に支援を求めることができるのと同じように、セキュリティインシデントが発生した際、CSIRTの問い合わせ窓口に連絡すれば、セキュリティインシデント対応の支援を求めることができます。また、消防署が火災予防のために消防訓練や消防設備点検を実施しているように、CSIRTもセキュリティインシデント発生の予防のために、セキュリティ教育や最新の脅威情報の収集、配信などを実施します。
CSIRTが担う役割によっては、消防署とは異なり、必ずしも現場に駆け付けて対応を実施するとは限りません。とはいえ、対応支援を実施するという意味では、やはり消防署と共通した役割を担っているといえるでしょう。
 |
| 図1 CSIRTの基本的な役割(引用元:JPCERTコーディネーションセンター 「CSIRTマテリアル 構想フェーズ 経営リスクと情報セキュリティ」、https://www.jpcert.or.jp/csirt_material/concept_phase.html |
町に消防署が存在することにより、人々は安心して暮らすことができます。同じように、セキュリティインシデントが発生した際の窓口を設けることにより、セキュリティインシデントが発生した際でも、組織がパニックに陥らず、冷静に適切な対処が行えるようになります。
また、近年セキュリティインシデントによる影響は広範囲に渡り、部署間、組織間をまたいで深刻な影響を与える場合もあります。そのため、事前に組織内外を横断的に俯瞰して調整ができるCSIRTを構築しておくことにより、被害を最小限に抑えることが可能になります。
このように書くと、CSIRTの構築には非常に多くの手間と時間が掛かるような印象を受けます。しかし実際には、すでに何らかの形で組織的にインシデント対応の機能を保有しており、既存の組織体系に大きな変更を加えることなくCSIRTを構築し、機能させることができる場合も多くあります。組織が現在保有しているインシデント対応プロセスを再確認するという意味でも、皆さんが所属している組織においても、CSIRTの構築を検討してみてはいかがでしょうか?
1980年代に生まれたCSIRT
歴史的な背景に少し触れましょう。CSIRTの起源は米国のカーネギーメロン大学のSEI(Software Engineering Institute)で運営されているCERT/CC(CERT Coordination Center)だと言われています。
CERT/CCは、1988年11月に発生した「モリスワーム事件」を契機とし、セキュリティが発生した際に、セキュリティ専門家間の調整を実施し、将来のセキュリティインシデント対応を支援するために米国国防高等研究計画庁(DARPA)により設立されました(関連用語)。
日本では、JPCERT/CC(Japan Computer Emergency Response Team/Coordination Center)が日本初のCSIRTとして、1992年ごろからボランティアベースで活動を開始しています。JPCERT/CCは、特定の政府機関や企業から独立した中立の組織として、CERT/CCなどの国内外のCSIRTと協力関係を構築し、グローバルなインシデント対応支援活動を行っています。
ここで重要なキーワードが出てきました。JPCERT/CCの活動の1つに「国内外のCSIRTと協力関係を構築」とあります。
CSIRTを構築したとしても、自組織内だけで対応できないインシデントが発生する場合があります。そのような時に備えて外部のCSIRTと情報を共有できる場を確保することも、CSIRTを運営する上で重要な要素となります。
日本人は助け合いを重んじる民族とはいえ、インシデント対応に関する情報は機密情報に属することが多いため、お互いのCSIRT間に信頼関係がないと、情報連携もためらわれます。そこで信頼関係を構築するために、CSIRT間のメンバーが実際に顔を合わせ、絆を深めることのできるコミュニティ活動が重要になると言われています。
日本でのCSIRTコミュニティとしては、最初に紹介した、CSIRT同士の連携を目的とした日本シーサート協議会が存在します。筆者の所属するMBSD-SIRTも、外部CSIRTとの信頼関係構築を目的とし、2011年3月に日本シーサート協議会に加盟しました。これからも多くのCSIRTに日本シーサート協議会に加盟していただき、広く信頼関係を構築し、セキュリティインシデントに迅速に対応する基盤を構築したいと思います。
もし、この記事を読んで興味を持った方がれば、ぜひ日本シーサート協議会のWebサイトをご参照ください。多くのCSIRTの方々と交流できることを期待しています。
| 【関連リンク】 日本シーサート協議会 http://www.nca.gr.jp/index.html |
またCSIRT構築に関しては、JPCERT/CCが公開しているCSIRTマテリアルに多くの情報が分かりやすく記載されています。CSIRTに興味を持たれた方はぜひご一読をお勧めします。
| 【関連リンク】 CSIRTマテリアル https://www.jpcert.or.jp/csirt_material/ |
今年の会場は歴史と音楽の都
前置きが長くなりましたが、今回開催されたFIRSTカンファレンスの報告に移りましょう。
FIRSTとは、世界中のCSIRT間の信頼関係を構築するための国際フォーラムです。先ほど紹介した、CSIRTの起源とされるCERT/CCの活動は、ヨーロッパを中心に世界中に広がっていきました。これを受け、組織間の連携を図るために1990年に結成されたと言われています。2011年9月時点では、52カ国、246チームものCSIRTにより構成されています。
FIRSTは、毎年、世界各地でFIRSTカンファレンスを開催しています。2009年には京都、2010年にはマイアミ、2011年はウィーンで開催されました。こうして開催場所を並べていくと、世界各地の観光地一覧ができそうですね。
FIRSTカンファレンスでは、各国の参加者がより深く交流を図れるように、開催地にふさわしい公式パーティも開催しています。今年は、世界遺産ウィーン歴史地区にあるウィーン市庁舎の大ホールにて盛大なパーティが開催されました。
 |
| 写真1 ウィーン市庁舎大ホール |
FIRSTカンファレンスでは毎回、開催地とその時々のトレンドをイメージしたテーマが設けられているようです。第23回目となる今回は、「Security Lessons: What Can History Teach Us?」という、歴史的な都であるウィーンに相応しいテーマが提示されました。
カンファレンス会場に到着してまず驚いたのは、参加者の数です。FIRSTカンファレンス全体としては480名近くが参加していたのですが、この手の会合にしては日本からの参加者が多く、国別比率では、40数名で日本が2番目に多く参加していました(最多は米国です)。実は、FIRSTに参加しているチーム数でカウントしても、米国(62)、日本(20)、ドイツ(18)、イギリス(17)、カナダ(13)となり、日本が2番目に位置しています(2011年9月時点)。
 |
| 写真2 今回の会場となったヒルトンウィーン |
1/2 |
 |
| Index | |
| 音楽の都で奏でられたCSIRTの協奏曲 | |
 |
Page1 そもそもCSIRTとは何か? 1980年代に生まれたCSIRT 今年の会場は歴史と音楽の都 |
| Page2 基調講演+3トラックのセッション内容 交流のなかった人々との「出会い系」カンファレンス |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
