JPCERT コーディネーションセンター

早期警戒情報フィールドレポート NTT-CERT

【第3回】NTT-CERT ~ 通信事業者における早期警戒情報の活用事例

本インタビューは、2012年2月23日に取材したものです。

NTTCERT1.JPG

話し手:
左上:日本電信電話株式会社 NTTセキュアプラットフォーム研究所
セキュリティマネジメント推進プロジェクト NTT-CERT:
研究主任 神谷造氏
右上:同 主任研究員 佐本陽一氏
左下:同 CSIRTエバンジェリスト 杉浦芳樹氏
右下:同 岩村良一氏


NTT-CERTは、国内CSIRTコミュニティの中でも、設立が2004年までさかのぼる長い歴史をもつ組織であり、2005年にはFIRST*1に加盟するなど対外的にも積極的に活動を展開しています。その使命は、情報ネットワーク社会のセキュリティの向上であり、NTTグループ全体に対してCSIRTサービスを提供することを主な業務としています。NTT-CERTは、グループ各社のCSIRTや情報システム部門への情報提供や情報セキュリティに関する教育および啓発活動、そして外部機関との調整などを担当しており、個々のインシデント対応は原則として各社が行います。NTT-CERTはそれに対する技術的な相談対応や技術情報の提供を行っております。

インシデント対応の責任が各社に委ねられているのは、それぞれの事業形態や扱うネットワークが多様であるため、画一的な対応が現実的ではないからです。

NTT-CERTでは、JPCERT/CCからの情報提供をどのように活用しているのか、お話しをうかがいました。

●国内の情報収集のため2006年から利用

―NTT-CERTにおいて、早期警戒情報の利用開始いただいたのはいつごろですか。

神谷氏:2006年9月4日です。私がNTT-CERTに配属される前ですね。

杉浦氏:その当時のメンバーで残っているのは私くらいだと思います。きっかけは、知り合いのJPCERT/CCのスタッフの一人に勧められたことです。情報セキュリティ関連の情報や脆弱性情報を共有するフレームワークが今ほど整備されていないころでした。セキュリティ専門の組織によって精査された情報が得られるという点に興味を持ち、利用することにしました。

 当時、NTT-CERTでも独自に情報収集は行っていましたが、裏付けや判断材料となる情報の不足に悩んでいました。FIRSTのようなグローバルな枠組みでも情報が共有されていましたが、国内に関連する情報は限られていました。早期警戒情報が国内の組織や企業をターゲットにした情報である点も採用した理由のひとつです。

―早期警戒情報の現在の利用状況について教えてください。

NTTCERT2.JPG

神谷氏:NTT-CERTの主要な活動のひとつは、NTT東日本、NTT西日本、NTTコミュニケーションズ、NTTドコモ、NTTデータの5社に対して、適切な情報提供を行い、情報セキュリティインシデントの発生を予防したり、発生してしまったインシデントの対応や復旧を手助けしたりすることです。予防措置や、発生したインシデントへの対応は、原則として各事業会社のCSIRTやその機能を担う部署の責任と権限において行うことになっているからです。

情報提供の中で、早期警戒情報に含まれる脆弱性情報や脅威情報を「JPCERT/CCからこのような情報が出ています。各部ごとの必要な対策の参考情報として利用してください。」というように伝え、必要に応じてNTT-CERT独自の情報を付加することもあります。早期警戒情報は、対応に必要な判断材料が含まれているので、そのまま配信するケースが多いのですが、独自の拡張や特殊な構成を含むシステムを使っている事業会社があり、そうした環境を想定しつつ、脆弱性の影響を受けるバージョンの詳細などについて情報を補足することで受信者にとってより有効に活用できる情報にするためです。ただ、補足情報を付加するための作業のために情報の配付が遅れることはあってはならないので、NTT-CERTの作業による遅延時間を極力短くするように努めています。

また、Analyst Note*2やWeekly Report*3は、セキュリティ概況を掌握するための情報収集を補足する参考情報としてNTT-CERTにおいて活用しています。

―NTT-CERTでは受け取った早期警戒情報をすべて事業会社に展開し、情報を受け取った各部署が、自分たちの組織やシステム構成に最適な対策を実施する形になっているわけですね。

神谷氏:はい。NTTグループ全体では 非常に多様かつ多数のサーバーが存在しているので、それぞれの個別の設定や運用に合わせた形での情報提供は、時間がかかったり構成変更に対応しきれないなどの問題があります。また、必要な情報に漏れがあってはならないので、NTT-CERTは、各事業会社が必要とする可能性があるすべてのリスク情報 を提供するようにしています。

―早期警戒情報を受け取った各事業会社は、具体的には、どのような対応をとっていますか。

NTTCERT3.JPG

岩村氏:情報に対する注目度が高く、迅速かつ真摯な対応がなされているとの感触を持っています。例えば、Apache Killer*4の早期警戒情報を受けて各事業会社にその情報を展開したときは、多数の問合せがありました。影響を受けるApacheのバージョン情報や、どんな影響を受けるのかなどの質問が中心でした。この脆弱性は複数のメディアが取り上げたので特に関心が高かったようです。

また、2010年と2011年の中国からのサイバー攻撃の時には、NTT-CERTが早期警戒情報の展開を行い、各事業会社が警戒態勢を敷きました。この時は、通常の組織と業務の中での警戒態勢でしたが、NTTグループでは特別な業務ラインを立ち上げる、いわば特別な警戒態勢をとる場合もあります。後者は、PSTN(公衆交換電話網)や広域LANを含むWANなど通信インフラを扱っている事業者としての、大規模な災害等への対応です。

―そのような場合は、NTT-CERTも特別な態勢をとるのですか。

NTTCERT4.JPG

杉浦氏:災害時、深刻な被害や問題が大きく緊急を要する場合、最大で24時間体制のシフトを組み、発生したインシデントへの対応支援やモニタリングの強化などを実施します。といっても通常業務と大きく異なる作業を行うわけではありません。緊急時にも情報収集やインシデント対応支援は重要ですし、むしろその必要性が高まるので、原則としては、日々の業務を拡大・延長し、その機能を強化する考え方です。

NTTCERT5.JPG

佐本氏:先の大震災のときも、電話や通信回線の被害状況や復旧体制とその状況などを逐一公開していましたが、NTTは古くからインフラ事業を手掛けているので、災害対策、緊急時のエスカレーションルールや業務の分担などが整備されています。

●JPCERT/CCの情報は海外からの情報が早い

―通信事業者のCSIRTとしての活動についてお話をうかがってきましたが、最後に、その他のNTT-CERTの特徴的な取組みと、JPCERT/CCからの情報がその中でどのように役立っているのかご紹介願います。

神谷氏:NTT-CERTでは、広域に影響のあるインシデント情報やリスク情報を収集し、利用しているハードウエアやソフトウエアに影響のありそうな脆弱性情報を扱っています。そのため、CSIRTが扱わなければならない情報はかなり膨大になります。脆弱性情報だけでも1日100件以上のアドバイザリ情報を精査しなければならないことは珍しくありません。その中で、JPCERT/CCからの情報は、影響範囲や危険性などをランク付けして検証済みの情報が得られるという点で、フィルタリングのコストが削減できることがありがたいですね。

海外からのセキュリティに関する情報が早いのも評価しています。各国で話題になったインシデント事例の発生タイミングやレポートなどの公開日から、それらの情報が我々の手元に届くまでの時間が、以前より短くなったと感じています。

杉浦氏:アジア方面の情報収集活動でも、JPCERT/CCのお世話になっています。我々もFIRSTには加盟しているので、連絡したい相手がFIRSTメンバーであれば直接問合わせをすることもありますが、アジア方面には、FIRSTに加盟していない組織もまだあります。また、教えてほしい情報や依頼内容によってはJPCERT/CCに調整を依頼することもあります。例えば、攻撃元のサーバーを止めるといった実際のインシデント対応や調整作業(コーディネーション)でも、JPCERT/CCと連携できるかどうかで、対応速度や結果が変わってきます。

―最後に、通信事業者ならではのCSIRTとしての課題や問題点があればお願いします。

杉浦氏:組織が巨大ということで、情報が現場までちゃんと伝わっているのか、という不安はあります。伝え方をもっと工夫すべきなんだろうなとも思っています。

神谷氏:NTT東日本および西日本では、各種通信ネットワークを維持しているという特殊事情もあると思います。通信システムの構成は、さまざまな市販製品なども取り入れており、複雑なものになっています。そういった複雑で多様なシステムを運用する部署向けに、必要な脆弱性情報のみフィルタリングして通知する基盤を整備しました。その基盤の中枢部分で、フィルタリングの効率化・高品質化のために利用しているのが、JPCERT/CCのKENGINE*4をカスタマイズした配信判定システムです。収集した脆弱性情報を分析しながら、この配信判定システムで必要な項目を選択すると、システムが各脆弱性情報の各運用部署への配信の要否を自動的に決定するようになっており、対応に一貫性を持たせることができます。

―本日は貴重なお話をありがとうございました。


*1:FIRST(Forum of Incident Response and Security Teams)

世界中の国、機関、企業らが組織するCSIRTが、それぞれのインシデント対応に必要な情報を共有・交換したり、連携した調整活動を行うための国際組織。創設は1990年。JPCERT/CCは1996年に日本のCSIRT組織として初の加盟を果たしている。

*2:Analyst Note

早期警戒情報とともにWAISEポータルサイトおよびメーリングリストによって閲覧・配信されるJPCERT/CCアナリストによる補足・参考情報。

*3:Weekly Report

Weekly Report とは、JPCERT/CCが得たセキュリティ関連情報のうち、JPCERT/CCが重要と判断したものを抜粋してまとめたものを、週1回、メーリングリストにて配信している情報サービス(https://www.jpcert.or.jp/wr/)。

*4:KENGINE

組織が、脆弱性情報に関し、効率よく、一貫した対応ができるように支援すべく、JPCERT/CCとCERT/CCが共同でデザインした脆弱性対応コンセプトフレームワーク、Vulnerability Response Decision Assistance(VRDA:脆弱性対応意思決定支援システム:ヴァーダと読む)を実装したシステム。

Topへ

Topへ

最新情報(RSSメーリングリストTwitter