日本の「サイバーディフェンス」と「CSIRT」:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 日本の「サイバーディフェンス」と「CSIRT」
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

名和利男 デジタル・フォレンジック研究会理事に聞く
日本の「サイバーディフェンス」と「CSIRT」

デジタル・フォレンジック研究会理事  
名和 利男
日本の「サイバーディフェンス」と「CSIRT」

 毎日無数に作られているマルウェア*1は、ネット環境にあるPCを日々攻撃し続けている。もちろんネット経由に拠らないPCへの攻撃方法も無数にあり、サイバー攻撃に関する防御方法はネットを監視すれば万事解決とも言えない状況にある。そんな中、世界的な連携によって早期のインシデント対応や脆弱性発見などを行う組織である「CSIRT(シーサート)」の設立・普及に活躍している、デジタル・フォレンジック研究会(以下IDF)理事およびサイバーディフェンス研究所上級分析官である名和利男氏にサイバー攻撃の現状とその防御策についてお話をうかがった。

インターネット上の119番

―まずご経歴などからお話いただけますか?

デジタル・フォレンジック研究会理事 名和利男氏
デジタル・フォレンジック研究会理事 名和利男氏
名和氏 私は旧防衛庁の出身で、最初は海上自衛隊における艦艇の「電測員」として、集まってくる戦闘情報を処理し、武器管制や指揮に回す仕事をしていました。情報を意思決定者へ無線で送る際、敵方に通信を傍受されても解読されないための暗号化などを行っていたのが、サイバーセキュリティにかかわった発端です。その後、航空自衛隊における「信務暗号通信員」や、防空関連システムの運用保守及びセキュリティ対策に係る業務をしていました。
 2006年からは、民間に移りJPCERTコーディネーションセンター(以下JPCERT/CC)に入り、各企業内での「CSIRT」の設立支援・普及やサイバー演習などを行っていました。

―「CSIRT」とは一体どのようなものでしょうか?

名和氏 米国が発祥の言葉で、「Computer Security Incident Response Team」の略になります。ソフトウェアに関する脆弱性やウィルス、フィッシングなど、コンピューターシステムやネットワーク上での問題全般に関する情報を収集し対応する組織全般のことを指します。インターネット上の119番のようなものでしょうか。JPCERT/CCについてはご存知ですか?

―ソフトウェアの脆弱性やマルウェアなどの情報を世界の組織と連携して収集し、警報を発する組織ですか。

名和氏 活動の一端を示す意味ではあっています。簡単に言うと米国にインシデントレスポンスに係る情報を集約し、管理、統括(=coordination、コーディネーション)する機関「CERT/CC」があるのですが、日本でそれに相当する組織がJPCERT/CCです。国内外で発生するインシデントの情報を受け付け、その情報を適正なところにハンドリングするところです。先ほどの119番の話で言えば、電話を受けた人が直接火を消しに行ったり、救急車で駆けつけたりするわけではないですよね。JPCERT/CCは国内外のインシデント関連情報を連絡調整する立場です。
 日本におけるJPCERT/CCのように、各企業内においても連絡調整役を作る必要性があるでしょう。例えば企業内で誰かが何らか問題らしきものを発見しても、それをどこに連絡すればよいのかわからないのでは、せっかく見つけた問題に何の対応も出来ない場合がでてきます。このように発生したインシデントについて、連絡の受付と連絡を受けた際の対応手配などを行うのが「CSIRT」です。
 ほかにもJPCERT/CCでは、「CSIRT」設立の支援や、サイバー演習、海外のリサーチ情報収集なども行っていました。リサーチについては、企業内、クライアント企業の分野内のみならず、アジア地域全域でリサーチ・共有してのディスカッションや、様々な課題を明らかにする努力をしたり、適切な対応や仕組みの導入検討などをしていました。

「CSIRT」が活かせない日本企業

―「CSIRT」の考え方についてお聞かせください。

名和氏 1980年代後半に米国のネット上で起こった、多くのホスト*2ワーム*3に感染する事件を契機に、インシデントに対する情報共有の必要性を感じた関係者たちが設立した組織が「CERT/CC」であり、これが世界最初の「CSIRT」です。「CSIRT」の活動フロー(図表参照)は主に「ディテクト」「トリアージ」「レスポンス」つまり、認知・検知し、初期判断をして、実際の対応行動をする、という3つの要素で構成されています。
〈図表〉基本的なCSIRTのフロー図
出典:サイバーディフェンス研究所
〈図表〉基本的なCSIRTのフロー図 出典:サイバーディフェンス研究所
(クリックすると拡大します)
  現在、これらのさらなる詳細や判断ポイント、ポリシーなどが書かれた設計図の作成作業に取り掛かっています。ところが、実際に日本の組織へ適用する過程で、日本企業が抱える独自の弱点も浮かび上がってきました。

―独自の弱点とはどのようなものでしょうか?

名和氏 日本企業の組織構造が、外部環境変化への対応に後れを取らせてしまうところがあることです。特に変化速度が速いIT分野・情報セキュリティ分野などにおいては、対応に大きな困難が伴います。日本の組織は、比較的近い文化・慣習をもった人同士で構成されている場合が多く、必然的にインシデントの発生が抑止されるような状況があったため、大きなインシデントの対応経験が少なかったと思います。それが、一つの要因とみています。
 また、日本はマニュアル化されず個人の技能に頼る傾向があるので、先ほどの「ディテクト、トリアージ、レスポンス」の流れも担当者の頭の中に存在させるだけで、結果、多くの部分を担当者個人の経験やノウハウに頼る状態になりがちです。
 さらに、組織体系が縦割りで、組織全体を見晴らせる人材が少ないと思います。セキュリティの具体策が、情報セキュリティ対策室ではなく、各部門のIT担当の独自の判断で対応しているのが実情です。
 ほかにも「個人情報保護」への対策については多大な労力をかけている企業は多いですが、「では、ほかの新しいインシデントが発生したときも同等の労力をかけられますか?」と聞くと「私の会社では発生しないので大丈夫」という担当の方までいます。確かに“深刻な”マルウェアの被害にあうのは宝くじに当たるようなものですが、それでもどんなことが起きても初動の対策が取れるような仕組みだけは作っておくべきです。

―そのような問題点が発生するのは、経営者層にITに関する知識がないことが原因なのでしょうか。

名和氏 いいえ。むしろ経営者層の方は、ITに関する知識を豊富に持たれていますし、技術者の方が書かれた論文などに目を通して貪欲に知識を収集している方も多くいらっしゃいます。

Next


お問い合わせ

  コラムトップページへ▲