Introduction | Spirit | History | Technology | Human Resource | Formation |
Spirit
サイバーセキュリティに向かう
コーディネーションスピリット
スピード。精確さ。粘り強さ。
一見、相反するようにも思えるこれらの要素を
いかにバランスさせるかに、
コーディネーションの真髄がある。
日本時間の朝5時過ぎ、ワシントンD.C.においてインシデントを確認。JPCERT/CCでは直ちに情報収集を開始し、その原因と目されるソフトウエアの脆弱性実証コードを発見して、分析に取り掛かる。5時間後の午前10時には状況を把握し、情報公開に向けて関係者と調整を開始。国内に「注意喚起」を発したのが12時頃のことであった。これらはすべて、ほぼ半日の間に行われた。脆弱性が公表されてから、悪意ある攻撃が発生するまで、わずか数日以内のことと言われている。すなわち、スピードを制することが、攻撃の阻止につながるのだ。
情報過多な世の中だからこそ、適切な情報を、必要な人々へ。
メディアのニュースは、社会的に大きな影響を与える。情報が不確かな段階で流布してしまうと、その情報が一人歩きし、混乱を招き、さらに攻撃者に有利な状況を生むこともまれではない。JPCERT/CCでは、「早期警戒情報」「注意喚起」などの適切な情報を、タイムリーに発信。また、JPCERT/CCが登録組織に提供する、セキュリティ関連情報を閲覧・交換するためのポータルサイトCISTA[1]においては、単なる情報提供ではなく、関係者同士の情報交換を重視している。JPCERT/CCがハブとなり、分析の知見を提供することで、コミュニティ総体としての防御力を高めることがその目的である。
[1] Collective Intelligence Station for Trusted Advocates
コーディネーションの力で、研究者とベンダと利用者をつなぐ。
ソフトウエアやハードウエアなどのシステムに潜むセキュリティ上の弱点が「脆弱性」だ。サイバー攻撃は、未発見、未対応の脆弱性を利用して行われる。ここに、脆弱性の発見者と製品ベンダを仲介する、コーディネーションの意義がある。JPCERT/CCは、この問題に取り組んでいる研究者のスピリットを受け、発見された脆弱性を、責任を持って製品ベンダに連絡し交渉をする。報告を受けた製品ベンダは、その情報をもとに対応策を検討し、ユーザに対して脆弱性情報を公表する。脆弱性情報は、製品ベンダのサイトの他、JPCERT/CCとIPA[2]が共同運用するWebサイトJVNで公開される。[3]
[2] 独立行政法人 情報処理推進機構
[3] JPCERT/CCは、「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」(経済産業省告示平成29年第19号)、及び「受付機関及び調整機関を定める告示」(平成31年経済産業省告示第19号)に規定される脆弱性調整機関です。
Introduction | Spirit | History | Technology | Human Resource | Formation |