FIRSTカンファレンスレポート

音楽の都で奏でられたCSIRTの協奏曲


三井物産セキュアディレクション株式会社
ビジネスデベロップメント部 セキュリティフォース
セキュリティアナリスト
塩見 友規
2011/10/13

6月12日から17日にかけて、オーストリア・ウィーンで「FIRSTカンファレンス」が開催されました。世界中のCSIRT(Computer Security Incident Response Team)関係者が集まったこの会合の模様をお伝えします(編集部)

 2011年6月12日から17日にかけて、オーストリア・ウィーンにてCSIRT(Computer Security Incident Response Team)の国際的な組織であるFIRST(Forum of Incident Response and Security Teams)の年次会合(以下、「FIRSTカンファレンス」)が開催されました。

 今回、そのFIRSTカンファレンスに参加する機会を得ましたので、その内容を筆者の感想とともに紹介します。

 そもそもCSIRTとは何か?

 まず、そもそもCSIRTとは何かについて説明します。

 CSIRTとは、日本のCSIRTコミュニティとして設立された日本シーサート協議会のWebサイトによると、「コンピュータセキュリティにかかるインシデントに対処するための組織の総称を指し、インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をする」と定義されています。

 上記の定義だけだと少し漠然としていますね……。もう少し具体的な例を挙げてみましょう。CSIRTはしばしば、消防署に例えられます。先人にならって、ここでも消防署に例えて考えてみましょう。

 もし近所で火災が発生したら、皆さんはまず何をするでしょうか?

 とりあえず消火器で火を消そうとしますか? 小規模な火災であれば、消火器で消火できる場合もありますが、大きな火災となると簡単には対処できませんよね。個人では手に負えない大きな火災が発生した場合はどうしますか?

 消防署に連絡をする? そうですね。火災が発生した際に、119番に電話をかけると、消防隊が駆けつけて消火作業を実施してくれます。

 火災が発生したときは消防署に支援を求めることができるのと同じように、セキュリティインシデントが発生した際、CSIRTの問い合わせ窓口に連絡すれば、セキュリティインシデント対応の支援を求めることができます。また、消防署が火災予防のために消防訓練や消防設備点検を実施しているように、CSIRTもセキュリティインシデント発生の予防のために、セキュリティ教育や最新の脅威情報の収集、配信などを実施します。

 CSIRTが担う役割によっては、消防署とは異なり、必ずしも現場に駆け付けて対応を実施するとは限りません。とはいえ、対応支援を実施するという意味では、やはり消防署と共通した役割を担っているといえるでしょう。

図1 CSIRTの基本的な役割(引用元:JPCERTコーディネーションセンター 「CSIRTマテリアル 構想フェーズ 経営リスクと情報セキュリティ」、https://www.jpcert.or.jp/csirt_material/concept_phase.html

 町に消防署が存在することにより、人々は安心して暮らすことができます。同じように、セキュリティインシデントが発生した際の窓口を設けることにより、セキュリティインシデントが発生した際でも、組織がパニックに陥らず、冷静に適切な対処が行えるようになります。

 また、近年セキュリティインシデントによる影響は広範囲に渡り、部署間、組織間をまたいで深刻な影響を与える場合もあります。そのため、事前に組織内外を横断的に俯瞰して調整ができるCSIRTを構築しておくことにより、被害を最小限に抑えることが可能になります。

 このように書くと、CSIRTの構築には非常に多くの手間と時間が掛かるような印象を受けます。しかし実際には、すでに何らかの形で組織的にインシデント対応の機能を保有しており、既存の組織体系に大きな変更を加えることなくCSIRTを構築し、機能させることができる場合も多くあります。組織が現在保有しているインシデント対応プロセスを再確認するという意味でも、皆さんが所属している組織においても、CSIRTの構築を検討してみてはいかがでしょうか?

 1980年代に生まれたCSIRT

 歴史的な背景に少し触れましょう。CSIRTの起源は米国のカーネギーメロン大学のSEI(Software Engineering Institute)で運営されているCERT/CC(CERT Coordination Center)だと言われています。

 CERT/CCは、1988年11月に発生した「モリスワーム事件」を契機とし、セキュリティが発生した際に、セキュリティ専門家間の調整を実施し、将来のセキュリティインシデント対応を支援するために米国国防高等研究計画庁(DARPA)により設立されました(関連用語)。

 日本では、JPCERT/CC(Japan Computer Emergency Response Team/Coordination Center)が日本初のCSIRTとして、1992年ごろからボランティアベースで活動を開始しています。JPCERT/CCは、特定の政府機関や企業から独立した中立の組織として、CERT/CCなどの国内外のCSIRTと協力関係を構築し、グローバルなインシデント対応支援活動を行っています。

 ここで重要なキーワードが出てきました。JPCERT/CCの活動の1つに「国内外のCSIRTと協力関係を構築」とあります。

 CSIRTを構築したとしても、自組織内だけで対応できないインシデントが発生する場合があります。そのような時に備えて外部のCSIRTと情報を共有できる場を確保することも、CSIRTを運営する上で重要な要素となります。

 日本人は助け合いを重んじる民族とはいえ、インシデント対応に関する情報は機密情報に属することが多いため、お互いのCSIRT間に信頼関係がないと、情報連携もためらわれます。そこで信頼関係を構築するために、CSIRT間のメンバーが実際に顔を合わせ、絆を深めることのできるコミュニティ活動が重要になると言われています。

 日本でのCSIRTコミュニティとしては、最初に紹介した、CSIRT同士の連携を目的とした日本シーサート協議会が存在します。筆者の所属するMBSD-SIRTも、外部CSIRTとの信頼関係構築を目的とし、2011年3月に日本シーサート協議会に加盟しました。これからも多くのCSIRTに日本シーサート協議会に加盟していただき、広く信頼関係を構築し、セキュリティインシデントに迅速に対応する基盤を構築したいと思います。

 もし、この記事を読んで興味を持った方がれば、ぜひ日本シーサート協議会のWebサイトをご参照ください。多くのCSIRTの方々と交流できることを期待しています。

【関連リンク】
日本シーサート協議会

http://www.nca.gr.jp/index.html

 またCSIRT構築に関しては、JPCERT/CCが公開しているCSIRTマテリアルに多くの情報が分かりやすく記載されています。CSIRTに興味を持たれた方はぜひご一読をお勧めします。

【関連リンク】
CSIRTマテリアル

https://www.jpcert.or.jp/csirt_material/

 今年の会場は歴史と音楽の都

 前置きが長くなりましたが、今回開催されたFIRSTカンファレンスの報告に移りましょう。

 FIRSTとは、世界中のCSIRT間の信頼関係を構築するための国際フォーラムです。先ほど紹介した、CSIRTの起源とされるCERT/CCの活動は、ヨーロッパを中心に世界中に広がっていきました。これを受け、組織間の連携を図るために1990年に結成されたと言われています。2011年9月時点では、52カ国、246チームものCSIRTにより構成されています。

 FIRSTは、毎年、世界各地でFIRSTカンファレンスを開催しています。2009年には京都、2010年にはマイアミ、2011年はウィーンで開催されました。こうして開催場所を並べていくと、世界各地の観光地一覧ができそうですね。

 FIRSTカンファレンスでは、各国の参加者がより深く交流を図れるように、開催地にふさわしい公式パーティも開催しています。今年は、世界遺産ウィーン歴史地区にあるウィーン市庁舎の大ホールにて盛大なパーティが開催されました。

写真1 ウィーン市庁舎大ホール

 FIRSTカンファレンスでは毎回、開催地とその時々のトレンドをイメージしたテーマが設けられているようです。第23回目となる今回は、「Security Lessons: What Can History Teach Us?」という、歴史的な都であるウィーンに相応しいテーマが提示されました。

 カンファレンス会場に到着してまず驚いたのは、参加者の数です。FIRSTカンファレンス全体としては480名近くが参加していたのですが、この手の会合にしては日本からの参加者が多く、国別比率では、40数名で日本が2番目に多く参加していました(最多は米国です)。実は、FIRSTに参加しているチーム数でカウントしても、米国(62)、日本(20)、ドイツ(18)、イギリス(17)、カナダ(13)となり、日本が2番目に位置しています(2011年9月時点)。

写真2 今回の会場となったヒルトンウィーン

1/2

Index
音楽の都で奏でられたCSIRTの協奏曲
Page1
そもそもCSIRTとは何か?
1980年代に生まれたCSIRT
今年の会場は歴史と音楽の都
  Page2
基調講演+3トラックのセッション内容
交流のなかった人々との「出会い系」カンファレンス

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 情報危機管理コンテストで考える――人材は育てるもの? それとも育つもの? (2017/6/21)
    さまざまなセキュリティインシデントに対応する能力をコンテスト形式で鍛える「第12回情報危機管理コンテスト」の決勝戦が、2017年5月25〜27日に和歌山県田辺市で開催された。競技シナリオにもない脆弱(ぜいじゃく)性を見つけたチームあり、意識的に初参加者を加えたチームあり、これまでのコンテストの枠を超えた戦いが繰り広げられた
  • リクルートのCSIRTが、マルウェア対策の一部を内製化した理由 (2017/6/19)
     本連載では、ランサムウェアを含む「マルウェア感染」という、さまざまな企業が頭を悩ませる問題について、リクルートグループのコンピューターインシデント対応チーム「Recruit-CSIRT」の発想と技術をお伝えする
  • 「WannaCry」の次は「SambaCry」? (2017/6/14)
    2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ちきりとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)を賑わしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。
  • 「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 (2017/5/30)
     2017年5月12日からランサムウェア「WannaCry」が大きな話題になった。これをきっかけにランサムウェア対策を講じることになった企業も多いのではないだろうか。本稿では、ランサムウェアに関する記事をピックアップ。今後のセキュリティ対策の参考にしてみてはいかがだろうか
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH