JPCERT コーディネーションセンター

海外セキュリティ関連機関・組織の動向 US-CERT

US-CERTに聞くセキュリティ対策のベストプラクティス:ステークホルダー間の状況認識の共有と協調動作の重要性

※本記事は、2010年8月から数回にわたって行われた電子メールによる取材内容から2011年5月に構成したものです。

 話し手:
 Lee Rock氏(Deputy Director, United States Computer Emergency Readiness Team (US-CERT) Department of Homeland Security)


US-CERTは、米国国土安全保障省(DHS)配下の情報セキュリティ対策組織で、国際的なサイバー演習 (直近では、CyberStormⅢ)の主宰なども行うほか、JPCERT/CC等の各国の関係組織との間で脅威情報の共有などの連携を行っている。今回は、US-CERTのDeputy DirectorであるLee Rock氏に、US-CERTにおけるセキュリティ対策への取り組みやセキュリティ対策組織の活動にとって重要なポイントなどについて聞いた。

―US-CERTの組織背景と主なミッションを教えてください。

US-CERT(United States Computer Emergency Readiness Team)は、2003年に、米国国土安全保障省(DHS:Department of Homeland Security)の国家サイバーセキュリティ部門(NCSD:National Cyber Security Division)の実働部隊として設立されました。その目的は、国家のサイバーセキュリティに対する姿勢を向上させること、関連情報を広く普及させること、そして国のサイバーリスクを管理することです。

―主な活動内容を教えてください。

まず、パートナーとなる機関・企業やサービス対象者との間の調整機関と思ってください。状況認識の共有を図ったり、警戒情報や注意喚起の発信を行ったりすることで、サービス対象者の資産をサイバーセキュリティ上の脅威から防御すべく支援します。ここでいうパートナーやサービス対象者には、連邦政府、州政府、地方自治体、民間組織(プライベートセクター)、重要インフラ事業者、海外のセキュリティ関連組織などが含まれます。

―米国でのセキュリティインシデント動向について簡単にまとめていただけますか。

米国の情勢もグローバルな情勢と同じだと思います。ITの高度化が進むにつれて、情報を脅かす新しい脆弱性も日々発見されています。金銭目的の攻撃も減っていません。しかも、攻撃ツールもキット化され攻撃者に要求されるスキルも少なくて済むようになってきています。加えて、モバイルデバイスを狙った攻撃が増えていることも確認しています。そのため、US-CERTでは、モバイルデバイスへの攻撃に関する問題を提起する文書*も作成しました。

* Technical Information Paper - Cyber Threats to Mobile Devices
(2010年4月15日)

―その問題点についてどのような対策をとっていますか。

社会にITが浸透するにつれて、状況認識の共有は、情報セキュリティ対策の必須事項となってきました。関連機関やパートナー同士の連携なしに対策行動をとることは、むしろ有害であり、さまざまな脅威軽減措置を妨害することにもなります。US-CERTは、保護すべき対象のインフラを所有してはいませんが、連邦政府関係機関や民間組織と密に連携を図り、異常な兆候を観測し、インシデントの調査と対策の助言を行い、重大な脅威や脆弱性が確認された場合は、連邦コミュニティや民間組織に対して脅威軽減策の周知徹底などを行います。それぞれの施策は、状況によって変わってきますが、多くの場合、ソフトウェアのアップデートや監視に関連するベストプラクティスとなります。

―関連機関などと連携しない対策行動が有害となる理由を教えてください。脆弱性情報などは積極的に公開すべきという意見もありますが。

ベンダーとパッチ情報の公開について調整したり、有効な緩和策を提供したりしないまま脆弱性情報を公開すれば、ユーザを過度なパニックに陥らせ、攻撃可能なセキュリティホールを攻撃者に教えることになります。別の例としては、攻撃に関する特定のドメインやIPを不用意にオープンソースコミュニティに投稿することが挙げられます。もし、このようなドメインやIPに対して法執行機関の捜査が進んでいるとしたら、コミュニティに情報を投稿することで、捜査は台無しになります。法執行機関や機密情報ルートによる適切かつ公正な精査なしにそのような情報を投稿すると、攻撃者に有利な情報を漏洩してしまうことになり、攻撃者の追跡をより困難にしかねません。

―JPCERT/CCのスタッフを含むセキュリティアナリストや技術者に対して、なにか意見やアドバイスがあればお願いします。

サイバー犯罪は国境などの制限を受けません。そのため、国際的なパートナーとの間で相互協力と状況把握を促進するための新たな関係性や枠組みを構築することが重要になります。脅威や脆弱性に対する状況把握の連携は、日々の交流と信頼があってこそ実現できると考えます。

ここでいう状況把握(situational awareness)とは、二当事者間で、ひとつの事象(インシデント)について、お互いの理解を深め合うために有益な関連情報を提供し合うことをいいます。両者にとって意義がある主要な指標情報の交換が第一歩となります。二者間の明確なコミュニケーションラインを確保することも然りです。相互の信頼関係の形成が最も重要であることはいうまでもありません。

情報共有という言葉は、サイバー業界ではしばしば誤って用いられることがあります。共有する情報が多いほど良いというわけではありません。不要な情報は取り除き、重要な情報を切り分けて共有することこそが、関係者にとって長期的には有効です。

良い例として、フィッシング対策活動が挙げられます。2つのCSIRT 間でそれぞれが確認したフィッシングサイトのリストを交換し、お互いのリストに対して各チームで作業を行うことも可能ですが、両方のデータセットを検証することで、新たな脆弱性の悪用の有無やマルウエアの進化に関する判断ができたり、様々な個人が独自に行っていると思われていた攻撃が、実は一つのグループが行っているものであることを確認することが可能になったりもします。


    JPCERT/CCが扱うインシデント対応調整において、最も多く通知を行う(対応を依頼する)先は米国であり、US-CERTとの連携・協力は、日本国内におけるインシデントの円滑な解決のためにも重要であるといえる。JPCERT/CCとしても、引き続き、円滑かつ効率的な連携、協力関係の醸成に努めて行きたい。


      >>その他、「関連機関・組織の動向」目次一覧へ

      Topへ

      Topへ
      最新情報(RSSメーリングリストTwitter