JPCERT/CC Seminar 2002 は以下の内容であった.
- JPCERT/CC の活動の報告とこの組織に関する簡単な説明
- 各種, 国内 CSIRT の様子
- NIRT (国が運営する CSIRT)
- プライベート CSIRT (プロバイダ[IIJ]が運営する CSIRT)
- ベンダとしての CSIRT (ベンダ[NEC]が運営する CSIRT)
[1.1.1] JPCERT/CC のこの一年
A. JPCERT/CC へのインシデント報告件数の減少
全体的に見て, JPCERT/CC へのインシデント報告の件数は段々と減ってきている.
インシデント報告をおこなわなかった人または組織に対して
報告しない理由をアンケートしたところ, 主に以下のような回答が得られた.
(アンケートの上位3つを抜粋)
- 企業や組織のセキュリティポリシーの制約から情報を出しにくい
- 顧客のシステムについての情報は出しにくい
- JPCERT/CC に情報を提供しても有効に活用されているとは思えないから
なお, この他にも当事者がその事態をインシデントだと認識できておらず,
「報告するようなインシデントではなかったから」といった理由も
多々あった.
B. 2001年度インシデントタイプ別分類
インシデントのタイプの上位3つを挙げると,
タイプ
件数 (パーセンテージ) |
弱点探索 |
2032 (81.4%)
|
侵入 |
138 (5.5%)
|
サービス運用妨害 |
53 (2.1%)
|
: |
となっている. 「弱点探索」が「侵入」に比べ遥かに多いことから
一見重要なインシデントが内容にも見える.
しかし, 実はこの「弱点探索」のインシデント報告をおこなっているところは
そのほとんどが海外のサイトであり,
インシデントの内容は「日本の某サイトから不正なアクセスを受けている」
である.
つまり, この「弱点探索」の多くが
既に侵入されて踏み台になっている国内サイトの数
を示しているのである.
また, JPCERT/CC からの報告に対し, サイトからはちゃんとしたレポートが
あがって来ないことが多く, 統計データがうまくとれない場合が多い.
[1.1.2] JPCERT/CC 国際活動
CSIRTとは?
- Computer Security Insident
Response Team
- 以下の活動をおこなう
- コンピュータセキュリティインシデントに対応する
- 組織/個人, 組織/組織, 個人/個人 をコーディネーション
- セキュリティに関する情報交換をおこなう
- JPCERT/CC も日本の CSIRT の一つ
FIRSTとは?
- The Forum of Incident Response
and Security Team
- 世界の 120 以上の CSIRT で構成される
- JPCERT/CC も FIRST を構成する CSIRT の一つ
APSIRC とは?
- Asia & Pacific Security Incident
Response and Coordination
- 2001 年の CodeRed による甚大な被害が APSIRC 発足の契機の一つ.
(実は CodeRed による被害はアジアが最悪であった).
- APSIRC のような組織の意義の一つは, CSIRT では対応できない,
言語, 時差, 社会制度の相違に起因する問題の解決にある.
- 現在, アジアの12の CSIRT によって構成されている.
また, CSIRT 設立の支援と協力も APSIRC の仕事の一つである.
国内に存在する CSIRT は, JPCERT/CC のようなものの他に
主に 3 種類存在する.
- 国が運営するもの
- プロバイダが運営するもの
- ベンダが運営するもの
以下ではその 3 種に対応する CSIRT の概要を紹介する.
- NIRT (内閣官房情報セキュリティ対策推進室緊急対応支援チーム)
- プロバイダ IIJ の CSIRT
- ベンダ NEC の CSIRT
[1.2.1] NIRT
- NIRT とは ...
- 内閣官房情報セキュリティ対策推進室内に設置された
「緊急対応支援チーム」のこと.
- 国内向け正式名称 …
内閣官房情報セキュリティ対策推進室緊急対応支援チーム
- 国外向け正式名称 …
National Incident Response Team, Cabinet Secretariat
- NIRT の発足は平成 14 年 4 月 1 日.
- 現在の NIRT は官民のコンピュータセキュリティ専門家 17 名で構成.
- 具体的な活動内容は…よくわからず….
(セミナーでの説明は抽象的なものばかりだった…)
[1.2.2] プライベート CSIRT
以下は IIJ (Internet Initiative Japan)
における CSIRT 的活動に関する報告である.
- IIJ Groupとは?
- IIJ の CSIRT 的活動
- abuse@iij,ad,jp 等の窓口を設置.
- 最近での対応件数は確実に増加中.
- 現在の活動の位置付け
- 他者のインシデントハンドリングを停滞させないための活動
- いわゆるプロバイダ責任法的活動
- 問題
- IIJ-SECT
- IIJ group SEcurity Coordination Team.
- IIJ での CSIRT 的活動を補助するために設立.
- 活動内容
- 社内向け活動 (教育, 緊急対応など)
- 対外活動 (FIRST への加盟, 活動支援)
- 2002/05 結成.
- メンバーは 6 名.
- あくまで IIJ-SECT は裏方として活動
- IIJ group 内部での CSIRT 的活動の利点と問題点
- 利点
- 情報がやりとりしやすい.
- ある程度の強制力を効かせることが出来る.
- 問題点
- 法的制約がある.
- ハンドリングで発生する責任問題.
- JPCERT/CC の存在は IIJ にとって必要化どうか?
[1.2.3] ベンダとしての CSIRT
以下は NEC
における CSIRT 的活動に関する報告である.
- セキュリティに関するベンダの責任
- 予防 … 製品やシステムに脆弱性を作りこまない
- 新たに発見された脆弱性の是正
- CERT/CC, JPCERT/CC との協力関係
- 脆弱性についての情報の入手
- 製品の改修などの対策
- お客さまへの情報提供
- 自己発生後の事後対応への協力
※ 1, 3 つ目に関しては昔からベンダの責任として認識されていたが,
2 つ目はあまり認識されていなかった.
- 現在, ベンダとして, CERT/CC と関係を結んでいる.
(JPCERT/CC を通じて)
- ベンダとして CSIRT 的活動をおこなうためには社内の理解と
社内体制の構築が不可欠.
- 品質管理部門との相互理解と協力関係.
- 全社的に理解を広める.
- 事業部門を巻き込む.
- 事業遂行上の課題として方針決定.
- 階層的な組織化.
- ボランティア活動になることを避ける.
- 結果優先であり, 対応の優先度の判断は事業部門に任せる.
- 広報部門との連係も忘れずにおこなう
- 活動の結果 ...
- 顧客の危険性の回避が全製品に渡っておこなわれるようになった.
- セキュリティに関心を持つ人達につながりができ, ネットワーク化された.
- 製品開発部門のセキュリティ感度が向上