【第4回】NEC-CSIRT　～　2011年以降社内セキュリティ運用部門と企業内CSIRTとの連携強化

本インタビューは2013年4月1日に編集したものです。

話し手：
　　右：日本電気株式会社
　　　　経営システム本部（セキュリティ技術センター）
　　　　シニアエキスパート 谷川哲司氏
　　左：経営システム本部 長谷部徹氏

製品やサービスを多くの企業ユーザに提供している大手ベンダーのNECが、どのように情報セキュリティに取り組み、インシデントに対応する態勢をとっているのか、について企業内CSIRTの運営に携わる2名の方にお話しいただきました。

―お二人がご所属の経営システム本部の概要や役割を、NECグループにおける情報セキュリティ関連の活動を中心に、教えてください。

谷川氏：経営システム本部は、NECの全社のIT戦略から社内システムの運用までを担当しており、その中にあるセキュリティ技術センター（STC）が、社内セキュリティインシデントの予防や対策のための技術支援などの全社的なセキュリティの対応を行っています。2000年7月に発足したセキュリティ技術センター(STC)は、セキュリティビジネスのコアとなるべく社内のセキュリティの有識者を集め、事業部門の中に設けた組織でしたが、2005年に経営システム本部に統合されて現在の形になりました。そのような経緯から、現在でも顧客企業等で発生したセキュリティインシデント等の解析・対応支援等も担当する、文字どおりの全社的なセキュリティに関する技術センターとなっています。

社内で発生するインシデントへの第一線での対応は、各事業部や関連会社がセキュリティ運用部門や担当組織を作って組織的に対応しています。当社の場合、官庁や社会インフラシステムからパーソナル事業/ISP事業まで、業務や業態も多岐にわたり、どの部門でも同じ方法で運用するというわけにはいかないので、細かい部分は各部門が個別のルールに基づいて対応します。しかし、これらの第一線の担当組織に対する情報提供や連絡、インシデント対応支援などは、経営システム本部のSTCが旗振り役となります。STCからの情報は、主にメーリングリストやポータルサイトを利用して行われています。

また、NECグループが出荷している製品の脆弱性を取り扱うPSIRT(Product Security Incident Response Team)もSTC内にあります。PSIRTは、2004年に発足したチームで、長谷部もそのメンバーです。 JPCERT/CCから提供される自社製品や共通コンポーネントに関する脆弱性情報は、まずこのチームが受け取り、NECグループ内の関連する製品開発部門や運用部門に連絡し対応を指示します。STC内には、インシデント対応を行うCSIRT(Computer Security Incident Response Team)というチームもあり、両チームを合わせて NEC-CSIRTと呼んでいます。

情報セキュリティに関連するところでは、経営システム本部内には、他に社内ネットワークやセキュリティの運用を担当しているNOC（Network Operating Center）部門やSOC（Security Operation Center）部門があり、社内・社外ネットワークのモニタリングや社内ユーザからの報告などを処理しています。

―なるほど。NECでは、もっぱら自社を守るためのNOC、SOCのような組織の他、顧客やパートナー企業におけるインシデントに対応可能なインシデントレスポンスチーム(CSIRT)があるわけですね。

谷川氏：はい。情報セキュリティに関する情報やインシデントでは社外製品、社内製品の区別はないので、特にPSIRTと CSIRTの連携は不可欠です。従来は、社外との情報交換を受け持つ POC(Point of Contact)の機能はPSIRTだけが担当してきましたが、標的型攻撃の増加につれ、マルウエア検体の共有等のためにCSIRTも直接外部の機関と情報共有する機会が増えてきています。対外的には、NEC-CSIRTとしてシングル・ウィンドウで活動する方が、都合がよくなってきています。

―CSIRTの活動内容は例えばどのようなものでしょうか。

谷川氏：セキュリティ情報の収集、マルウエア解析、標的型攻撃解析、デジタルフォレンジック、ログ解析、復旧作業、不祥事対応、広報支援・捜査協力、などです。現在、これらのスキルを持つ15名程度の要員で、CSIRTを運用しています。以前はフォレンジック解析の比率が高かったのですが、最近は標的型攻撃メール等のマルウエアが添付されたメールによる攻撃が増加を続けています。そのため、NECグループ内では、検体を動かしてマルウエアを分析しているのですが、CSIRTでは、マルウエア検出の届出と検体の提供があればマルウエアを解析し、SOC/NOC部門と協力して、広くユーザに注意を促したり、場合によっては通信を遮断したりする等の対策を実施しています。このため、プログラムの内部構造の知識やリアルタイムでの対応が要求されることが、多くなってきました。また、最新の解析技術を習得するため、研究開発部門や社内の有識者とともに、週一回ペースでマルウエア解析・インシデント対応技術の勉強会を開催し、各自が調査した情報や解析方法等に関して共有するようにしています。

―どちらも「早期警戒」と入っていて紛らわしいですが、脅威情報やその対策情報などを中心とする「早期警戒情報」と、NEC製品が関連する可能性がある「情報セキュリティ早期警戒パートナーシップに基づいた脆弱性情報」との両者をJPCERT/CCから受け取る窓口としてPSIRTを登録させていただいていますね。このうち前者については、CSIRTやPSIRTのコアな活動の中で、どのように利用いただいていますか。

長谷部氏：PSIRTでは、JPCERT/CCから脅威情報やその対策情報などの「早期警戒情報」を受け取ると、セキュリティ技術センターやNOC部門、SOC部門と情報を共有した後、「全社セキュリティ情報共有メーリングリスト」「セキュリティの専門知識を扱うメーリングリスト」にこの情報を配信します。このメーリングリストには各部門のセキュリティ管理者、セキュリティ専門家など1300人～1500人くらいが登録されています。

PSIRTでは、社内向けの脆弱性情報配信基盤を構築し、公表された製品の脆弱性情報を入手して配布していますが、JPCERT/CCからの早期警戒情報も必要に応じて、このルートを利用して展開しています。この脆弱性情報配信基盤の利用者は、システム・インテグレーション・サービス事業に関連しているSEおよび営業部門、セキュリティの専門家などを中心とする約1500人です。

―メーリングリストや脆弱性情報配信基盤に配信される情報はすべて同じものですか。

長谷部氏：いいえ。メーリングリストや社内情報ポータルは、それぞれターゲットが異なるので、PSIRTが配信先に応じた情報の選別を行っています。またPSIRTで、各媒体の利用者に合わせた補足情報を発信する場合もあります。

―全社で何人くらいが、早期警戒情報を受信しているのでしょうか。

長谷部：メーリングリストなどへの登録は重複もありますので、延べ人数になりますがおよそ3000人～4,000人くらいだと思います。

―他にも活用している情報はありますか。

長谷部氏：WAISEポータルやJVNの情報もよく利用しています。特にAnalyst Note*1の情報は、最新の海外関係のセキュリティ情報の把握に活用しています。 実際、Analyst Noteが参照しているインシデント等の情報元のURL情報を、先ほどのメーリングリストなどで共有させていただくことはよくあります。これらの情報は、セキュリティ技術センターやPSIRT/CSIRTなどがインシデント対応をするとき、指示やアドバイスに非常に役立っています。

―JPCERT/CCからの情報が役立った事例などご紹介いただけますか。

谷川氏：古い例では、2008年のDNSキャッシュポイズニングのときに早期警戒情報が役に立ちました。この手の情報は、可能な限り早く、一斉展開しないといけないので、迅速な注意喚起情報は助かりました。

最近の事例では、Java7の脆弱性に関する注意喚起情報ですね。マルウエアの実証・検証データとともに発信されていたので、非常に助かりました。一般のニュース情報だけですと、まずその情報が正しいものかどうかを検証しなければなりませんし、「このバージョンならば影響がない」、といった情報が整理されていないなど、正しい行動や対策に必要な正確な情報が少ないのです。

また、歴史的な出来事を背景にした日本の特定企業や機関への攻撃が行われるという早期警戒情報も役立ちました。このような情報は、結果的に未遂に終わったり、直接の被害がなかったりしても、予防措置をとったり態勢を整えたりできるので、正確な情報をいち早く入手することがとても重要なのです。

例を挙げると、2年ほど前の9月18日（満州事変の発端となった柳条湖事件の記念日）に、中国からの攻撃が問題になったときは、JPCERT/CCからの発信情報は、セキュリティオペレーション部門(SOC部門)のユーザから非常に役に立ったとの声を聞いています。海外のアンダーグラウンド情報などは、一般企業の活動の中では得にくい情報ですが、こういった情報を提供してもらえると、我々が入手した情報と併せて、多角的な分析と適切な判断に役立てることができます。この意義は高いと思います。

―今後どのような情報がほしいと思われますか。

会社にとって、現在、標的型攻撃への対策に関心をもって取り組んでいるので、国内・海外でどのような攻撃が発生しているのか、どんなメールが出回っているのか、といった情報はとても重要です。また、マルウエアの動作に関する情報や解析を妨害するテクニックに関する情報も提供いただければ、非常に助かります。企業内CSIRTの場合、内部のネットワークの状態やインシデントの動向は把握しやすいのですが、外部の情報はニュースやWebからの情報だけで限られています。

―NECで認識しているセキュリティ動向や課題などについてお聞かせください。

谷川氏：標的型攻撃への関心は高いですね。一般的なスパムメールに添付されるマルウエアや、もっと高度な標的型攻撃などについて、いかに検知し、感染や被害を防ぐかは経営層にとっても重要になっています。

広範囲にばらまかれるスパムメールによる攻撃は排除しやすいのですが、特定の人だけをターゲットにした標的型攻撃メールは検出が難しいので、新しいシステムを構築して対策に取り組んでいます。

―どのようなシステムですか。

谷川氏：システムでは、メールの内容によって標的型攻撃かどうかを判定することは難しいので、攻撃に使用されるマルウエアを検知するアプローチをとっています。最大の特徴はパターンマッチングだけに頼るのではなく、未知のマルウエアの検出も可能なように、動的な検知システムを採用している点です。例えば脆弱なテスト環境で添付ファイルの動作検証を行い、外部と不信な通信をしていれば、その情報をURLフィルタリングに反映して接続できないようにします。

―教育プログラムや啓発活動などはどうでしょうか。

谷川氏：まず、攻撃対象にされやすい部署については、標的型攻撃に対する教育やセミナーを実施しています。また、そういった攻撃を受けた、あるいは怪しいメールやサイトを見つけた場合のエスカレーションの仕組みを見直しています。 また、特定の部門について、擬似的な標的型攻撃のメールを送りつけて、社員の啓発を促し、対応状況などを把握する「ITセキュリティ予防接種」（https://www.jpcert.or.jp/research/inoculation2009.html）も実施しています。対応の結果によって、新たな対策やしくみの整備につなげています。

―本日はお忙しいところありがとうございました。JPCERT/CCとしては、今後も皆様の期待に応え、社会全体の情報セキュリティの向上に努力していきたいと思います。

*1：Analyst Note
早期警戒情報とともにWAISEポータルサイトおよびメーリングリストによって閲覧・配信されるJPCERT/CCアナリストによる補足・参考情報。

Topへ