RSAカンファレンス2008特集　JPCERT/CC常務理事早貸淳子氏インタビュー

有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）の早貸淳子常務理事に情報セキュリティ対策機関としてのJPCERT/CCの役割についてのお話をお伺いした。

また、JPCERT/CCは 2008年4月23日（水）、24日（木）に開催されるRSA Conference Japan 2008の後援もしている。同カンファレンスの中から、クラストラック「C2：ネットワークセキュリティ：最新の脅威と対策」についてのご紹介いただいた。

■攻撃者のコストを引き上げることが JPCERT/CCの役割

JPCERT/CCは、情報セキュリティインシデントの被害拡大防止を大きな目的として取り組んでいる組織です。情報セキュリティはどんな企業や組織にも必要なことなので、ITやコンピュータ関係の企業だけではなく、幅広い業種に向けてサービスを提供しています。サービス自体は、主に現場で業務として情報セキュリティに携わっている方を対象としています。

取り組みの中には、インシデント対応支援やボットプログラムの解析などさまざまなものがあります。これらは、攻撃に迅速に対応したり、防御の網を張り巡らせたりすることで、攻撃者側の攻撃に要するコストを引き上げ、攻撃が割に合わない行為だと考えるようになることを目論んでいるのです。

■インターネットの成長とともに組織も進化　〜 CodeRedから標的型攻撃へ

私たちの組織は、インターネットとともに成長しています。発端はまだ情報セキュリティが一般的ではなかった1992年、「日本のコンピュータセキュリティを守らなければならない」という有志によるボランティア活動によって、インシデントの報告対応の業務が始まりました。当時、国内ではセキュリティ対策がまだ国の施策にはなっておらず、中立的な立場で相談に応じる機関は、私たちのようなボランティア団体しかありませんでした。

インシデント対応は、一つ一つのインシデントにいかに早く対応して二次被害の抑制を行うかが重要になります。しかし、2001年頃からCodeRedやBlasterといった爆発的に広がるウイルスが登場したときには、個々のインシデント対応では追いつかなくなってきました。リアルタイムに何が起きているかを把握することが必要になったのです。

そこで2003年から始まったのが、“インターネット定点観測システム（ISDAS）”です。インターネット上にセンサーを均等に設置することで、ネットワークトラフィック情報の収集分析やセキュリティ警戒情報の提供などを行っています。

その後も環境の変化に応じて、さまざまなサービスが増えてきました。未公開の脆弱性情報を適切に取り扱うための枠組みである“脆弱性情報ハンドリング”は、現在、200社を超える製品開発ベンダや個人開発者の御協力を得ています。また、広く一般に注意を呼びかける“注意喚起”情報の発信とは別に、一般に公開するにはリスクがあると考えられる場合であっても、重要インフラ事業者等の社会基盤を支える組織において対応が必要となる脅威については、“早期警戒情報”として、適切なタイミングで対象組織向けに提供しています。

最近では、経済的な利得を得ることを目的に、特定の情報資産などを狙う攻撃（「標的型攻撃」と呼ばれることが多いようです。）が増えてきました。これはCodeRedのように広範に感染活動を行うというものではないので、インターネット定点観測システム等で拾うことができず、観測を行っているセキュリティ対策機関からの注意喚起につながりにくいという問題があります。そのため、企業など各組織が、自身で検知して、被害を防ぐことができる機能を備えることが必要になります。

そのために私たちは、“CSIRT構築支援”活動を強化しています。CSIRT（Computer Security Incident Response Team）というのは、コンピュータセキュリティに関するインシデントに対処するための組織をいいます。具体的には、インシデントや、脆弱性、攻撃予兆などに関する情報を収集、分析し、対応方針や手順の策定などの活動を行います。このような機能を備えた組織を増やしていくための活動です。

また攻撃に使われるウイルスなどのマルウェアの挙動や作成手法を解析することで、新しい攻撃手法への対応のために有益な情報を作成し、提供することを目的とした“アーティファクト分析”も行っています。

■情報の集約と発信が、対策時のスムーズな連携を生む

JPCERT/CCは、各地からインシデントの報告を受け付け、攻撃元に対する調整等の活動を行っています。　たとえば、改ざんされたウェブページの利用者がマルウェアのダウンロードサイトに誘導されてしまうという事案では、JPCERT/CCから、誘導先のサイトが存する国の関係機関に連絡をして、誘導先のサイトを閉鎖してもらうとともに、改ざんされたサイトの利用に関する注意を呼びかけるというような活動を行います。いただいたインシデント報告は被害の拡散の抑止に役立てられています。

そこで感じることは、インシデント報告の内容が調整のために必要な情報を網羅しており、また、同様のインシデントに関する報告が多数寄せられた場合に、脅威の判断が適切にでき、関係者間の調整、対応が早くできるということです。また、調整をお願いする先の関係機関との間で普段から情報提供などで信頼関係を築き、協力関係を結んでおくことができれば、各企業や機関との連携もスムーズに進みます。国内でも、もっと各省庁や機関などがうまく連携して情報の活用が進めば、更に効果的な対策を打つことができるのではないかと考えます。

■JPCERT/CCとそのサービスの知名度向上が課題

最近ではルーターや組み込み機器などが攻撃者に狙われることもあり、脆弱性情報に関する調整を行う先も、これまでJPCERT/CCがリーチしてきたソフトウェア開発者の方々とは別の部署や企業だということが多くなってきていますが、その方々には私たちの知名度はまだ低いのが現状です。

JPCERT/CCは、情報セキュリティのプロ向けにサービスを提供する組織であり、「知る人ぞ知る」といった組織であったところですが、私たちが発信する情報を、顧客への注意喚起等の形でサービス提供事業者殿等に有効に活用していただくためには、情報発信元組織としてのサービスの知名度も必要だと感じています。そのため昨今は広報活動にも力を入れていかなければならないと感じています。

■RSA Conference Japan 2008

RSA Conference Japanは、JPCERT/CCのターゲット層と同様に、現場のセキュリティのプロの方々が多く集まるカンファレンスです。クラストラック“C2：ネットワークセキュリティ：最新の脅威と対策トラック”は、そういった現場のプロの方々に明日から何をすればいいのかを考える際に役立てていただけるはずです。

“C2-1：世界に広がるハニーネットが4年を経て学んだこと”では、ハニーネットの第一人者である Eurecom InstituteのMarc Dacier氏が世界的なハニーネット”Leurre.comプロジェクト”の調査結果を紹介します。世界各地で変化している攻撃者の戦略について得られた教訓を知ることで、今後の脅威への対応の検討に役立てていただけるかと思います。

“C2-2：ネットワークの脅威はどう変わってきているのか ― 対策の視点は追いついているのか”では、ネットワーク上の脅威がどう変わってきているのかを、マルウエアや脆弱性の解析者、ネットワークセキュリティの研究者、インターネットのバックボーンの運用者、企業内のCSIRTでセキュリティ対策をされている方といった立場が異なるパネリスト陣で検証を行い、現在のネットワークの脅威を明らかにします。

“C2-3：アンダーグラウンド・エコノミー：奴らは、我々の金を狙って精を出す”では、Team Cymru Inc.のDavid Deitrich氏が昨今の高度化したマルウェアや組織化したサイバー犯罪を、攻撃者の動機の視点からの検証を紹介します。

“C2-4：日本のセキュリティと海の向こうのセキュリティ”では、JPCERT/CCの小宮山氏が世界的に起こっているが日本では起こってないインシデント、逆に日本でしか起こっていないインシデントなどを検証します。それにより日本の情報セキュリティ問題の特徴を知っていただき、取り組むべき対策の検討に役立てていただけるのではないかと考えます。

組織内でセキュリティの現場にいる方々が、今後の対策のあり方を検討される際、また、情報セキュリティ対策の必要性を経営層や管理者層に対して説明される際に、情報セキュリティ上の脅威の現状に関する認識を共有していただくための資料のひとつとして、このクラストラックで得られる情報がお役にたつことを期待しています。

【執筆：株式会社トライコーダ上野宣 ( http://www.tricorder.jp/ )】

【関連記事】
RSAカンファレンス2008特集
内閣官房情報セキュリティ補佐官山口英氏インタビュー(1)
https://www.netsecurity.ne.jp/3_11315.html
RSAカンファレンス2008特集
内閣官房情報セキュリティ補佐官山口英氏インタビュー(2)
https://www.netsecurity.ne.jp/3_11355.html

【関連リンク】
RSA Conference Japan 2008
http://www.cmptech.jp/rsaconference/