Article
CSIRT activities and the security culture of the organization
2016 Volume 59 Issue 2 Pages 96-104
Details
2016 Volume 59 Issue 2 Pages 96-104
Webページ改ざん,DoS攻撃,標的型攻撃,日々新しいサイバーセキュリティーの専門用語が生み出されている。本稿では,CSIRT(シーサート)という専門用語を読み解いていきたい。CSIRTは,Computer Security Incident Response Teamの略である。また,シーサートは,コンピューターセキュリティーインシデント対応能力を組織化することであり,シーサート活動には,組織のセキュリティー文化が反映されている。この専門用語の中には,インシデント,インシデント対応,コンピューターセキュリティーインシデントレスポンスチームというキーワードが隠れている。
1988
さて,何の数字であろうか。
世界初のシーサート(CSIRT: Computer Security Incident Response Team)であるCERT/CC(CERT Coordination Center)注1)が米国で設立されたのが1988年である。この年の11月,当時米コーネル大学の大学院生であったモリス氏は,マサチューセッツ工科大学のコンピューターに自作のウイルスを送り込むことに成功する。後に「インターネットワーム」と呼ばれるウイルスである。このウイルスが巻き起こしたインシデントは,約6,000台のUNIXマシンに感染し,過大な負荷をかけることでサービス停止などの被害を与えた。そして,インターネットワーム出現を契機に,インシデントの原因や対応方法などの情報を共有することの重要性が認識され1),国防高等研究計画局(Defense Advanced Research Projects Agency: DARPA)が中心となってCERT/CCの設立に至った。
342
これは,グローバルで活動するシーサートコミュニティーFIRST(Forum of Incident Response and Security Teams)に加盟しているチーム数である。1989年10月,SPAN VAX/VMSシステムに感染するWankワームが出現した際に,国境,組織をまたがったシーサート間のコミュニケーションの欠落が適切なインシデント対応の推進を妨げた2)。この経験を踏まえ,1990年にシーサートの組織間ならびに国際間連携のため,大学,研究機関,企業,政府,軍などのシーサートから構成されるFIRSTが組織された。2016年2月現在,世界74か国・地域,342チームが加盟,日本からは25チームが加盟している。
120
こちらは,2016年2月現在,日本で活動するシーサートコミュニティー日本シーサート協議会3)に加盟しているチーム数である。図1は,2000年以降のインシデントの変遷をまとめたものである。2005年は,ウイルス流布を通して,皆が同じ被害体験をした「均一的かつ広範囲にわたる連鎖型被害」から,隣で発生している被害がみえなくなってきた「類似した局所的な被害」への変化点でもあった。対処側もこの変化に追従していく必要があり,「異なる組織のシーサート同士がつながり,手段を共有することで問題解決を図る」から「異なる組織のシーサート同士がつながり,サイバー攻撃活動を鳥瞰(ちょうかん)することで問題解決を図る」が求められてきた。2007年,この変化に追従すべく,国内のシーサートの組織間連携のため,日本シーサート協議会が設立された。
シーサートの歴史を振り返ると,インシデントの変遷の歴史でもあり,失敗から学ぶ歴史でもある。しかし,シーサートの歴史を年齢に換算すると,なんと20歳代後半という若者であり,今後も多くの経験を積んでいく必要がある。
ここでは,シーサート名称に含まれている「インシデント」と「インシデント対応」について掘り下げていく。
2.1 「インシデント」とは何か国内最初のシーサート組織であるJPCERT/CC(JPCERTコーディネーションセンター,1996年発足)によれば,コンピューターセキュリティーインシデントを,「情報システムの運用におけるセキュリティー上の問題として捉える事象」として説明している。簡単にいえば,Webページを改ざんされる,DoS(ドス)攻撃によりWebサイトにアクセスできなくなる,標的型攻撃により情報漏えいが発生する,バンキングマルウェア感染により不正送金が発生する,ランサムウェア感染によるパソコン内のファイルが人質にとられるなど,サイバー攻撃によって発生する事象や被害のことである。ここでは,代表的なインシデントについて紹介したい。
(1) Webページ改ざんWebページそのものが差し替えられたり,画像を差し替えられたりする事象のことである。Webページ改ざんには,図2に示すように単純なページ書き換えと,不正なWebサイトに誘導する書き換えとがある。「ホームページアクセスでウイルス感染の恐れ」という記事が掲載されたものは,多くの場合,後者の不正なWebサイトに誘導する書き換えである。書き換えという被害者となる一方,Webサイトにアクセスしてきた利用者を不正なWebサイトに誘導しているため,知らない間に加害者に加担していることになってしまう。
(2) DoS攻撃DoSは,Denial of Serviceの略で,サービス運用妨害攻撃と呼ばれることもある。特定のWebサイトに対して,意図的に,とてつもなく多くのアクセスを発生させる攻撃である(図3)。満員電車や遊園地のアトラクションに行列ができるような非常に混んでいる状況がインターネット上で発生していると想像すればよい。たまに,DoS攻撃で情報漏えいが発生したという記事が掲載されることもあるが,そのようなことはない。この場合には,DoS攻撃以外に,情報漏えいを引き起こすインシデントが発生していると考えてほしい。
(3) 標的型メール攻撃特定の組織や人を対象に,ウイルスを添付した電子メールを送信したり,不正なWebサイトに誘導するようなURLが記載された電子メールを送信する攻撃である。電子メールに添付されたウイルスに感染してしまうと,パソコンが遠隔操作可能になる場合がある。このような場合,攻撃者は,その感染したパソコンを踏み台にして,その組織のネットワークに接続するパソコン群に不正アクセスを仕掛けることができるため,情報漏えい被害が拡大する可能性がある。
インシデント対応は,インシデントが発生したときに,その被害を局所化し,その原因を明らかにして,原因を除去するとともに,再発を防止することである。上記のように事前に想定できるインシデントについては,Webページ改ざんのために使われた侵入経路の特定,不正なWebサイトに誘導する書き換えが発生した場合の対外的な告知方法など,やるべきことを事前に手順化しておくことにより,迅速な対応が可能となる。
事前にやっておくべきこと,事後にやらなければならないことは,インシデント対応のために必要となる措置である。表1,表2を参考にして,準備をしておいていただきたい。
インシデント対応を主導するシーサートの役割を通して,シーサートとは何をするものなのかについて紹介していこう。
3.1 シーサートの役割とは何か一般的に認識されているシーサートの役割を図4に示す。名称の一部に,レスポンスチームという用語が含まれているからか,インシデントが発生してから活動を開始すると思われている方も多いが,これは大きな誤解である。シーサートは,消防署に例えられることも多い。消防署の方々は,日々,火災に備えて訓練をしたり,防火設備の点検をしたりするなど,事前準備に抜かりはない。シーサートも同様で,シーサートにとってのインシデントレディネス(事前対処)は,インシデント発生に備えて,自分たちのシステムの構成を把握し,構成に合わせた情報収集,インシデント発生時にも適切に状況把握できるよう準備することである。インシデントレスポンス(事後対処)に必要なことは,準備に基づいて淡々と対処することと例外状況が発生しても慌てない心構えである。
シーサートの役割から,どこの組織も同じようなシーサート体制を持ち,同じような活動をしていると思われる方も多いことであろう。これも大きな誤解である。日本シーサート協議会に加盟するシーサートを見比べてみると,一つとして同じシーサートは存在しない。これは,シーサートに規格がないという理由だけではない。一番大きな要因は,シーサート活動が,組織のセキュリティー文化を反映していることにある。
たとえば,日立のシーサート組織であるHIRT(Hitachi Incident Response Team)は,インシデント発生時に,必ずしも現場に駆けつけるわけではない。消防署でいえば,消防本部と,特別要請があったときに出動する消防救助機動部隊のような2つの役割を担っている。日立の企業活動をインシデント対応活動からみると,情報システムや制御システムなどの製品を開発する側面,その製品を用いたシステム構築やサービスを提供する側面,そして,インターネットユーザーとして自身の企業を運用管理していく側面の3つがある。これら3つの側面でインシデント対応など,セキュリティーを推進する所管部署は決まっている。不足しているとすれば,新たな脅威に対処するために,3つの側面を鳥瞰し,「次の脅威をキャッチアップする」過程の中で,早期に対策展開を図る活動を進めていくという先導であったり,高度な対処が必要な場合のエスカレーションの引き受けなどである。これが,HIRTの役割となっている。
他のシーサートに目を向けてみると,現場に駆けつける作業を役割として担っているところもあれば,外部のSOC(Security Operation Center)サービスを活用しているところもある。いずこも,組織としての事業を運営する体制や力を入れなければならない箇所が違うことによる。すなわち,シーサート活動は,組織のセキュリティー文化を映し出す鏡といえる。
3.3 シーサートの実装事例シーサート活動に対する理解を深めてもらうため,具体的な実装事例として,日立のシーサート組織であるHIRTの組織編成モデル,HIRTセンタの位置付け,ならびにHIRTセンタが推進している活動を紹介する4)。
(1) 組織編成モデルHIRTでは,「HIRTセンタ」,「製品ベンダIRT」,「SIベンダIRT」,「社内ユーザIRT」という,4つのIRTという組織編成モデルを採用している。これは,各IRTの役割を明確にしつつ,IRT間の連携を図った効率的かつ効果的なセキュリティー対策活動を推進するために考えたモデルである(図5)。HIRTという名称は,広義の意味では日立グループ全体で推進するシーサート活動を示し,狭義の意味では,HIRTセンタを示している。
HIRTセンタは,社内外の調整役だけではなく,セキュリティーの技術面をけん引する役割を担っている。具体的な役割は,制度面/技術面でのセキュリティー対策活動の推進,各事業部/グループ会社への脆弱(ぜいじゃく)性対策とインシデント対応の支援,そして,日立グループのシーサート窓口として組織間連携によるセキュリティー対策活動の促進である(図6)。また,専属者と兼務者から構成されたバーチャルな組織体制をとることで,横断的な対応体制と機能分散による調整機能役を実現している。このような組織編成の背景には,情報ならびにシステムを構成する機器が多岐にわたっているため,セキュリティー問題解決のためには,各部署の責務推進と部署間の協力が必要であるとの考えに基づいている。
HIRTセンタの主な活動には,社内向けと社外向けのシーサート活動がある。
社内向けのシーサート活動としては,消防救助機動部隊のような役割の他に,セキュリティー情報の収集/分析を通して得られたノウハウを注意喚起やアドバイザリーとして発行している。また,本部の役割として,各種ガイドラインや支援ツールの形で製品開発プロセスにフィードバックする活動を推進している。
社外向けのシーサート活動は,シーサート活動の国内外連携の強化である。特に,国内初の企業シーサートとしての活動の開始(1998年),日本シーサート協議会の立ち上げ(2007年~)などシーサート活動の先行的な取り組みを進めるとともに,国内脆弱性対策ポータルサイトJVN(Japan Vulnerability Notes)などの企画段階からの支援(2002年~),マルウェア対策研究人材育成ワークショップの立ち上げ支援(2008年~)など,シーサート活動の普及に向けた学術系,公共系への寄与に注力している。
シーサートのことを,組織内シーサートと呼ぶことがある。また,組織内の情報セキュリティー問題を専門に扱うインシデント対応チームと説明されることもある。実は,組織内シーサートは,Internal CSIRTの日本語訳なのである。
多くのシーサートが連携を通して問題解決を図っていくためには,暗黙知を慣習としてではなく,相互統一・相互理解へと変えていかなくてはならない。そこで,本章では,日本シーサート協議会で得られた日本でのシーサート活動の暗黙知をお伝えするとともに,「組織内」=「『組織の中にしか目を向けない,インシデント対応活動』を検討していればよい」という日本語訳が生み出す誤解も解いておきたい。
(1) 対外的な連絡窓口であること高度なサイバー攻撃によるインシデントの発覚は,多くの場合,外部からの通知によるといわれている。シーサートの役割の1つが,対外的な連絡窓口として,外部から連絡がとれるようになっていることである(図7)。ちなみに,日本シーサート協議会では,チーム情報の紹介ページで,外部から連絡がとれるようチームのメールアドレス,チームのWebサイトを掲載している。また,2014年からは,電話帳と同じように使ってもらえるよう加盟組織一覧を発行することで,連絡窓口の広報に努めている。
これは,「技術的な通知」=「わからない」という理由でたらい回しにさせない,放置させないことにある(図8)。たまに耳にするのが,通知された内容の取り扱いがわからず放置してしまったために,後々対処が大変であったというものである。もうひとつ忘れてはいけないことは,通知を受信したら,必ず受信した旨を返信することである。
シーサート活動において,インシデントレスポンスという実践的な活動経験を,インシデントレディネスにフィードバックしていくことで,組織としての耐性も強化されていく(図9)。これは,経験があるからこそ,「問題解決」に向けての想像力も働くということを意味する。したがって,実践的な活動経験ができないならば,組織の外で発生した,他のインシデントレスポンスを疑似体験するなどして,「問題解決」に向けての想像力を常に養っていく必要がある。
日本のシーサートにおける体制上の特徴で,約8割が部署間を横断した体制を構築していることに関係する(図10)。セキュリティーは任せておけばよいと勘違いされないようにするために,部署間を横断した体制をとっているということも耳にすることがある。ここには,組織内での横断的な協力体制整備への期待が込められている。
現時点での最後の役割は,シーサート活動を進めていくうえで重要なこと,それは,情報の鮮度,スピード感を追い求めることである。それによって,不確定な情報を取り扱う機会も増え,この経験の中で,その取り扱い方を学ぶことになる。そして,次にやるべきことは,その情報や経験を,経営層や利用者が使える形で,見える化したり,文書化したりすることである(図11)。
シーサート活動には,組織のセキュリティー文化が反映されているという視点から,シーサート活動を紹介した。米国立標準技術研究所による勧告SP800-61 コンピュータセキュリティインシデント対応ガイド5)の中に,「コンピュータセキュリティインシデント対応能力の組織化」という一文がある。ここでの組織化は,体制構築を意味しているが,本稿の読者の皆さまには,ぜひ,「インシデント対応能力を組織のセキュリティー文化として定着させること」として読み解いていただきたいと思っている。
また,サイバーセキュリティー攻撃に対抗するための手段のひとつとして,シーサート構築を検討されている方も多いと思う。ぜひ,シーサートを構築したあかつきには,インシデント対応能力を組織のセキュリティー文化として定着させることを考えていただければ幸いである。
(株)日立製作所 システムイノベーションセンタ 主管研究員/Hitachi Incident Response Teamチーフコーディネーションデザイナ。サイバーセキュリティーの研究開発に従事。中央大学客員教授,JPCERT/CC専門委員,(独)情報処理推進機構研究員,テレコム・アイザック推進会議運営委員,日本シーサート協議会運営委員長を務める。
