Microsoft PowerPoint _revised.ppt

Transcription

1 JPCERT/CC の活動について ~JPCERT/CC の国内活動と国際連携 ~ JPCERT コーディネーションセンター 早期警戒グループ マネージャ鎌田敬介 KAMATA Keisuke Copyright 2006 JPCERT/CC All rights reserved.

2 本日の TOPIC JPCERT/CC 組織概要 JPCERT/CC 活動内容 インシデントレスポンス インターネット定点観測システム :ISDAS 脆弱性情報ハンドリング 早期警戒事業 CSIRTの役割とその活動 CSIRT とは? 世界の CSIRT コミュニティとその動向 FIRST APCERT CSIRT 構築支援活動 2

3 JPCERT/CC 組織概要 3

4 JPCERT/CC の概要 JPCERT/CC Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネーションセンター コンピュータセキュリティインシデントに関する調整 連携などの活動をおこなっている 緊急事態 (Emergency) への対応 (Response) 米国の CERT/CC を起源とする組織 コンピュータセキュリティインシデントとは? コンピュータセキュリティに関係する人為的事象で 意図的及び偶発的なもの 4

5 JPCERT/CC の概要 1992 年ボランティアベースの活動開始 1996 年 10 月任意団体として発足 コンピュータセキュリティインシデント報告対応業務開始 1998 年 8 月 CSIRT として日本で最初に FIRST に加盟 - 日本の National CSIRT として国際的に認知 2003 年 2 月 APCERT( アジア太平洋コンピュータ緊急対応チーム ) 発足 2003 年 3 月有限責任中間法人格取得 2003 年 12 月インターネット定点観測システム (ISDAS) 公開 2004 年 7 月経済産業省告示にて 脆弱性情報流通調整機関 として指定 2005 年 6 月 JPCERT/CC のメンバが FIRST 理事に就任 2006 年 10 月任意団体発足後 10 周年 CSIRT とはコンピュータセキュリティインシデント対応組織の略称 FIRST とは世界的な コンピュータセキュリティインシデント対応組織の協力体制を構築する目的で設立されたフォーラム 5

6 JPCERT/CC 活動内容 6

7 JPCERT/CC 活動内容 1996~ 2003~ 2004~ 2005~ インシデント発生前の予防 リアルタイム状況把握 インシデント発生後 定点観測システム ISDAS インシデントレスポンス 早期警戒情報配信サービスセキュリティ演習 脆弱性情報ハンドリング JVN 7

8 コンピュータセキュリティインシデントインシデントレスポンス CSIRT of CSIRTs CSIRT (Computer Security Incident Response Team) 間の連携をコーディネート インシデントレスポンスの時間短縮による被害最小化 再発防止に向けた関係各機関の情報交換および情報共有 インシデント報告件数の推移 2004 年 年 3457 ISP CSIRT 企業 CSIRT 2002 年 2001 年 インシデント情報 JPCER T/CC インシデント情報 2000 年 1999 年 1998 年 サービス インシデント情報の交換 情報交換 情報交換 1997 年 1996 年 FIRST APCERT などの海外 CSIRT 学識経験者 関連団体などのご協力者 官公庁 政府関係機関などの国内協力組織 JPCERT/CC が1996 年から2004 年に受領したインシデント報告 8

9 コンピュータセキュリティインシデントとは? インシデントの例 スキャン (Scan Probe) 脆弱なアカウントの探索 侵入未遂など システムへの侵入 (Intrusion) システムやソフトウェアの脆弱性を使用して侵入など サービス運用妨害攻撃 (DoS : Denial of Service) 大量アクセスによるサーバプログラムの停止 性能低下 再起動など フィッシング (phishing) 銀行やオークションサイトなどを装ったページをつくり クレジットカード番号や ID/PW などの個人情報を盗む インシデントではないもの いわゆる spam メールの配信 ワンクリック詐欺など 分類方法は組織によって様々 9

10 インシデントハンドリングの国際連携 6. 対応 アクセス元ホスト 国内 ISP など 5. 協力依頼 1.. 不審なアクセス 3.. 報告 2.. 検知 インシデント発生サイト CSIRT 間ネットワーク JPCERT/CC 4. 連携 海外 CSIRT CNCERT KrCERT など 日本 A 国 10

11 インシデントハンドリングの国際連携 国際連携によって越えられる壁 言語の違い 文化の違い 法律 制度の違い 各国 CSIRT 間の 連携 協調活動として 最も進んでいる分野 11

12 JPCERT/CC へのインシデント報告件数の推移 scan forged intrusion phishing other

13 インシデント報告 :scan 22 番ポート (ssh) への Scan の報告件数の割合が高い あるサーバでは 1 日に 2000 以上のアクセスも記録 Q Q Q Q Q Q Q Q Q Q 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Q Q Q Q Q Q Q Q Q Q other TCP 445 (microsoft-ds) TCP 139 (netbios-ssn) TCP 135 (epmap) TCP 80 (http) TCP 22 (ssh)

14 インシデント報告 : フィッシング コーディネーション 2004 年 4 月からコーディネーションを開始 国内 海外からの報告 インシデントの一形態 ( 不正侵入 ) として取り扱う 該当サイトの連絡先を探して通知 (JPNIC の whois データベースを使用 ) 管理者の意図しないページ公開の停止依頼 14

15 Phishing サイト : どっちが本物? 15

16 フィッシング対応の実績 フィッシングサイトのインシデント報告数 (2004 年度 65 件 2005 年度 339 件 2006 年度第一四半期 163 件 ) 注意喚起 (2 件 ) Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起 ( ) OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起 ( ) 啓発活動 ( 取材 33 件 誌面掲載 (Web 含 ) 14 件 ) ISP 向けに フィッシングサイトに関する JPCERT/CC への協力依頼 文書の発行 (2006 年 6 月 ) FIRSTなど 他のCSIRTとの情報交換 ISP との連携 16

17 フィッシング報告件数 ( 月別 ) 件数 70 phishing 月別件数 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2 月 3 月 4 月 5 月 6 月 7 月 8 月 9 月 10 月 11 月 12 月 1 月 2 月 3 月 4 月 5 月 6 月 2004 年度 2005 年度 2006 年度 17

18 フィッシング報告件数 ( 年度別 ) 対前年度比 522% 1 四半期で前年度の 48% 年度 2005 年度 2006 年度 (4-6 月 ) 18

19 フィッシング報告者 ( 種別件数 ) 100% 90% 80% 70% 60% 50% 40% 30% 第三者 e コマース銀行 / クレジットカード会社 Security Service CSIRT 20% 10% 0% 2004 年度 2005 年度 2006 年度 (4-6 月 ) 19

20 フィッシング報告者 ( 種別件数 ) 2004 年度 2005 年度 2006 年度 (4-6 月 ) 報告者 国外国内国外国内国外国内 CSIRT Security Service 銀行 / クレジット カード会社 e コマース 第三者 同一案件について複数から報告があった場合も計上 20

21 フィッシング被害サイト 100% 90% 80% 70% 60% 50% 40% 30% 不明海外サイト学校企業 ISP XSP 20% 10% 0% 2004 年度 2005 年度 2006 年度 (4-6 月 ) 21

22 フィッシング被害サイト ( 種別件数 ) 被害サイト 2004 年度 2005 年度 2006 年度 (4-6 月 ) ISP XSP 企業 学校 海外サイト 不明

23 近時の問題点 フィッシングサイトが閉鎖されるまでの問題点 ISP 様ごとの調査 対応体制の違いによって生じる対応の時間差 ホスティング業者様において対応に時間がかかる例が散見される サイト閉鎖後の問題点 対応が完了したつもりであっても 対応が不十分でサイトが再び立ち上がってしまう 23

24 フィッシングサイト閉鎖事例 2005 年 3 月に韓国 ポーランド ウルグアイに解説されていた UFJ 銀行のフィッシングサイトを閉鎖した事例を紹介します 2005 年 3 月 19 日付 日経新聞朝刊 NIKKEI NET 24

25 Phishing コーディネーション事例 2005 年 3 月 :UFJ 銀行のフィッシングサイトの URL が日本国内から JPCERT/CC に報告される 3 ヵ国 : 韓国 ポーランド ウルグアイ (Whois を利用 ) CSIRT の国際連携ネットワークを活用し JPCERT/CC から韓国 ポーランドへ連絡 韓国 KrCERT/CC 4 時間後に停止を確認 ポーランド CERT Polska 20 時間後に停止を確認 ウルグアイは? 25

26 参考 : フィッシングに関わる国際的な情勢海外での事例 海外事例 : フィッシングは 金融犯罪 法体制の整備 個人情報の窃盗としての扱い 捜査官へのトレーニングの実施 報告受付体制の整備 米国においては FBI と USSS がそれぞれで設置 官民の連携体制の整備 リソースの共有 役割の分担など 26

27 インシデントの傾向 大規模 局所化 特定の組織 個人を狙った攻撃 targeted attack (spear attack) 愉快犯 金銭目的 国際的には法的な面での整備も進み 犯罪 として法執行機関が動く体制 27

28 インターネット定点観測事業 インターネット定点観測システム ISDAS:Internet Scan Data Acquisition System インシデントの早期把握のための観測および情報提供 定期的なセキュリティ予防情報の提供 異なる監視 観測アプローチをとる定点観測および広域モニタリング間での情報共有により精度の高い情報共有 28

29 ISDAS 概論 理念 インターネット上に何が起きているのか リアルタイムの状況や兆候を把握することができれば未然に対応することも可能になるのではないか? 概説 ISDAS ではスキャンパケットの観測を目的 各センサーが記録したログ情報を元に 公開グラフを生成 29

30 SCAN ISDAS システム概要 REPORT REPORT SCAN SCAN SCAN Internet REPORT REPORT センサー群 ISDAS 30 システム

31 センサーとは? インターネットから来るスキャンパケットを収集し ISDAS システムへ送信している box センサーが収集している情報 時間 プロトコル (TCP/UDP/ICMP) 送信元 IP アドレス 送信元ポート番号 送信先 IP アドレス 送信先ポート番号 センサー ( イメージ図 ) 31

32 アクセス先ポートグラフ 32

33 アクセス元地域別グラフ 33

34 ポート別グラフ 34

35 収集データの利用方法 Web を通じたグラフによる情報公開 注意喚起等公開情報発行時の参考資料 IODEF 形式にて海外 CSIRT への情報連携 IODEF:Incident Object Data Exchange Format の略でインシデント情報を交換する際に利用可能な XML フォーマット 他の定点観測事業者との情報共有 警察庁サイバーフォースセンター 情報処理推進機構 (IPA) セキュリティセンター インターネット早期広域攻撃警戒システム WCLSCAN Telecom-ISAC Japan 35

36 ISDAS データ : 中国 韓国 オーストラリアへの情報連携 ISDAS にて収集した各国発のスキャンデータを IODEF 形式で送信 1 日分を毎日送信 src_ip, src_port, dest_port, protocol, timestamp を送信 各国にて情報分析 インシデントの対応に利用 36

37 脆弱性情報ハンドリング事業 ソフトウェア等脆弱性関連情報取扱基準 (2004 年 7 月 : 経産省告示 ) 認定調整機関 登録開発ベンダ向けに 脆弱性関連情報を提供し対応依頼 国際的に情報公開日を調整 JPCERT/CC との製品開発者のハンドリング ( やり取り ) フロー図 海外 CSIRT IPA 脆弱性情報の連絡 JPCERT/CC 受付 製品開発者 情報提供サイト JVN(JP Vendor Status Notes) 情報のやりとり 脆弱性情報概要 調査依頼 受付 脆弱性詳細情報要求 詳細情報を送付した製品開発者リスト等 公表日通知 情報のやりとり 調整 脆弱性詳細情報 調査報告 該当製品の有無対応方針 スケジュール 公表日通知 対策スケジュール調整 公表用対策情報 調査 検査 調整対策 公表準備 一般公表 37

38 脆弱性情報ハンドリング開始の背景 脆弱性情報の公表から ワームやウィルスが出現するまでの時間が短縮化 脆弱性情報が公表されてからパッチを開発していては間に合わない 脆弱性情報の公表と同時に 対策情報も公表される必要がある 38

39 脆弱性情報ハンドリング開始前 発見者 ウェブサイトなど 開発者 発見 攻撃者 公表 ユーザ 認知 対策策定 公表 攻撃 39

40 脆弱性情報ハンドリング開始後 発見者 受付機関 調整機関 開発者 報告 受付 調整 認知 攻撃者 公表 JVN 対策策定 対策 ユーザ 攻撃 40

41 脆弱性情報ハンドリング事業の概要 公開前の脆弱性関連情報を 適切な関係者に事前に開示することで 脆弱性による被害を最小限にするためのプロセス JPCERT/CC は このプロセスの調整役 ( コーディネーター ) として脆弱性情報を製品開発者に連絡 対応を依頼 取り扱う脆弱性情報は大きくわけて二種類 特定の製品開発者の特定の製品に関わる脆弱性 複数の製品開発者にまたがる脆弱性 技術仕様の根本的問題など 複数の製品開発者が関わる場合は公開日一致の原則を遵守 脆弱性情報の一般公開と同時に パッチ等の対応策等も一般に公開されるようにするための仕組み 41

42 日本国内の脆弱性情報取扱体制 脆弱性の発見者 4. 登録ベンダの中から該当ベンダを抽出 調整機関 (JPCERT/CC) 1. 報告 5. 脆弱性関連情報の通知検証ツールの提供など可能な場合回避策の提供 6. 公開スケジュールの調整 3. 通知 受付機関 (IPA) 9. 対策情報のとりまとめ 対策情報ポータルサイト (JVN) 8. 対策情報の提供 分析結果 2. 受付 分析機能 10. 一般公表 エンドユーザ 企業ユーザ マスコミ SIer 7. 対策の作成 ベンダ 1 ベンダ 2 ベンダ 3 ベンダ4 ISP 登録ベンダ群 ベンダ 5 ベンダ6 ベンダ 7 ベンダ 8 小売り 42

43 国際的な脆弱性情報取扱体制 海外のベンダ 海外のセキュリティチーム 1. 脆弱性情報の通知 4. 日本のベンダの対策情報 JPCERT/CC JPCERT/CC とのパートナーシップ米国 CERT/CC 英国 NISCC 海外での枠組み 5. 情報の一般公開 3. 対策情報の集約 2. 日本のベンダへの連絡 日本国内の枠組み 日本国内のベンダ 43

44 調整機関が国際的に必要な理由 公表日一致の原則 脆弱性情報と 製品開発者の対応状況は同時に公表 複数の製品開発者に及ぶ場合は 同時公表のための中立な第三者機関によるスケジュール調整が必要 製品開発者へのコンタクト 影響のある製品を持つ製品開発者を 一社でも多く把握 可能な限りの範囲への 公平な情報提供 各組織内の 正しい連絡窓口の確保 脆弱性情報を共有する際の 誤解や ミスを最小限に抑える 文化や言葉の違いをカバー 発見者 製品開発者間の調整 異なるモチベーションの調整 44

45 脆弱性情報公表サイト JVN 45

46 脆弱性情報 2005 年度および 2006 年度上半期 国内からの届出オープンソフトウエア ウェブを利用したアプリケーションに関する脆弱性が増加 クロスサイトスクリプティングの脆弱性が増加 /Q3 2004/Q4 2005/Q1 2005/Q2 2005/Q3 2005/Q4 2006/Q1 2006/Q2 海外 (NISCC) 海外 (CERT/CC) 国内 (IPA 製品開発者 ) 海外からの届出世界的に広く利用され且つ影響度の高いメール配信プロトコルやウェブブラウザ製品に関する脆弱性が増加 四半期毎の脆弱性関連情報の公開数 ( 報告別 ) /3Q 2004/4Q 2005/1Q 2005/2Q 2005/3Q 2005/Q4 2006/Q1 2006/Q2 国際調整 ( 海外 日本 ) 国際調整 ( 日本 海外 ) 国内調整のみ 四半期毎の脆弱性関連情報の公開数の内訳 ( 国際調整 ) 46

47 開発ベンダー登録数 脆弱性情報流通 開発ベンダー登録数 132 社 開発側の脆弱性への取り組み向上 対策側の取り組み推進 /Q3 以前 /Q /Q /Q /Q /Q /Q /Q /Q

48 早期警戒事業 48

49 最近のセキュリティ事情 脆弱性の公開からウィルス ワーム等が出現するまでの時間が短縮化している 出現日時 ウィルス ワーム名 出現までの日数 2003 年 1 月 SQL Slammer 6ヶ月 2004 年 2 月 Nachi (Welchia) 2ヶ月 2004 年 5 月 Sasser 17 日 2005 年 8 月 Zotob 5 日 ( その後 3 日間で7 亜種が出現 ) 特定のサイトを狙った悪質な攻撃が増加 技術的な対応策だけでは不十分 想定外のシステムトラブルが発生 脅威情報 対策情報を迅速に入手することが必須 49

50 早期警戒情報とは? JPCERT/CC が入手する様々な脅威情報を総合的に分析し 脅威の内容とその対策情報を合わせた情報 50

51 脆弱性情報の発生からユーザ対応まで 1. 脆弱性の発生 ( 製品開発時 ) 2. 発見者の発見 報告 3. 調整機関の調整 4. ベンダの対策 5. 脆弱性情報 対策情報公開 6. ユーザの対応 ( パッチ適用 ) このタイミングで 早期警戒情報を発信 51

52 早期警戒情報発信の目的と対象 目的 JPCERT/CC が入手した情報を共有することで 情報インフラへのセキュリティリスクを低減させること が目的 対象社会的に重要なシステムの運用者を対象として想定 ( 重要インフラ事業者など ) 52

53 早期警戒情報の例 脅威度の高い未公開の脆弱性情報に関する回避策の共有 大規模な範囲を対象とした攻撃予告に関する注意喚起と対策情報の共有 攻撃手法が一般に公開された脆弱性情報に関する注意喚起と対策情報の共有など 53

54 脅威情報のインパクト測定 対応支援ツール 一つの脅威情報に対する脅威の度合いは組織によって異なるのが普通 JPCERT/CC が独自の判断で脅威度を測定しても参考にならないことがある 脅威度の測定を各組織ごとに行うことで より現実的な対応の支援となる 脅威度の測定と判断支援ツールの開発 54

55 CSIRT の活動とその役割 55

56 CSIRT に関してよく聞かれること CSIRT とは何か? CSIRT の正式名称 Computer Security Incident Response Team CSIRT は サービス組織の概念である コンピュータセキュリティインシデント の報告や発生状況の受け付け 調査及び対応 56

57 CSIRT に関してよく聞かれること CSIRT が取り扱うものは何か? コンピュータセキュリティインシデント コンピュータセキュリティに関係する人為的事象で 意図的および偶発的なもの ( その疑いがある場合 ) を含みます 例えば リソースの不正使用 サービス妨害行為 データの破壊 意図しない情報の開示や さらにそれらに至るための行為 ( 事象 ) などがある セキュリテイポリシーに違反する活動のことも指す場合がある 57

58 CSIRT に関してよく聞かれること CSIRT はどのようにして発足したのか? 58

59 CSIRT に関してよく聞かれること CSIRT に相当する既存の組織名は? CSIRT CERT CSIRC CIRC CIRT IHT IRC IRT SERT SIRT Computer Security Incident Response Team Computer Emergency Response Team Computer Security Incident Response Capability Computer Incident Response Capability Computer Incident Response Team Incident Handling Team Incident Response Center or Incident Response Capability Incident Response Team Security Emergency Response Team Security Incident Response Team 59

60 CSIRT に関してよく聞かれること インシデントレスポンスとは何か? 3 つの役割 インシデントのレポート 分析 レスポンス インシデント情報 インシデント情報 インシデント情報 対策実施 CSIRT 対策情報提供 [ 有用な情報の公開 ] 最新情報 インシデント傾向 分析情報 推奨する対策情報 その他 インシデント情報 インシデント情報 60

61 CSIRT に関してよく聞かれること なぜ組織内に CSIRT が必要なのか? システムへの不正侵入や悪意のある行為を完全に防止する保証はどこにもない 検知 分析 対応する時間が短いほど 被害の最小化 極限化 そして少ないコストで復旧できる 組織内のシステムに精通しておくと 迅速な復旧活動ができるとともに 事業継続に有効な戦略も作成できる 他の CSIRT やセキュリティ関連組織との連携により 対応策や可能性のある問題点をあらかじめ 組織内に警告することができ 被害の未然防止に役立つ 組織構成員の方々に対し セキュリティ意識の啓発活動や教育などを実施できる 61

62 CSIRT に関してよく聞かれること CSIRT は組織の中のどこに位置するのか? CEO/CIO A 支店 IT 部門 ネットワーク / システム部 B 支店 IT 部門 ネットワーク / システム部 IT 統括部長?? CSIRT セキュリティ担当部長 システム管理者 62

63 CSIRT に関してよく聞かれること CSIRT コミュニティとは? JPCERT/CC のような 政府からも 業界からも中立なインシデント対応調整組織は 世界中に存在する CERT/CC ( 米国 ) KrCERT( 韓国 ) CNCERT( 中国 ) AusCERT( 豪 ) など各国に存在 政治的 市場からも独立した テクニカルで 中立な調整機関間で 共通する方針を持って協力し インシデント対応を行うコミュニティ FIRST APCERT TF-CSIRT など My security is Depending on your security Web of Trust 実績と 信頼関係でつながる CSIRT 繰り返し行うハンドリング手順によって 確実でスピードの速いインシデント対応を行う 63

64 CSIRT のフレームワーク 64

65 CSIRT のフレームワーク ミッションステートメント ミッションは 所属している組織及びサービス対象者が期待するものに強く影響される 一般的な CSIRT のミッションの例 構成システムのセキュリティの保守と維持管理 インシデントレスポンス活動の統制及び調整 セキュリティインシデントによる被害の最小化 サービス対象者に対するセキュリティ関連の教育及び啓蒙と最善策 ( best practice ) の提供 65

66 CSIRT のフレームワーク サービス対象 サービス対象 (Constituency) 及びその関係の定義 CSIRT をサービス対象者に周知 doing the job right ( 仕事を適切にこなす ) により サービス対象から信頼獲得 インシデント発生時における CSIRT の有効な機能発揮 66

67 CSIRT のフレームワーク 組織形態 Security Team セキュリティーチーム Internal Distributed CSIRT 内部における分配型 CSIRT Internal Centralized CSIRT 内部における集中型 CSIRT Internal Combined Distributed and Centralized CSIRT 内部における統合 ( 分配 / 集中 ) 型 CSIRT Coordinating CSIRT 連絡調整としての CSIRT 67

68 CSIRT のフレームワーク 組織形態 Security Team サービス対象 連絡調整 Security Team 68

69 CSIRT のフレームワーク 組織形態 Internal Distributed CSIRT サービス対象 CSIRT 連絡調整 Internal Distributed CSIRT 69

70 CSIRT のフレームワーク 組織形態 Internal Centralized CSIRT サービス対象 CSIRT 連絡調整 経営層 Internal Centralized CSIRT 70

71 CSIRT のフレームワーク 組織形態 Internal Combined Distributed and Centralized CSIRT サービス対象 CSIRT 連絡調整 経営層 Internal Combined Distributed and Centralized CSIRT 71

72 CSIRT のフレームワーク 組織形態 Coordinating CSIRT サービス対象 CSIRT 連絡調整 Coordinating CSIRT Coordinating CSIRT Coordinating CSIRT 72

73 CSIRT のフレームワーク 相互関係 サービス対象 CSIRT 連絡調整 Coordinating CSIRT A Coordinating CSIRT B CSIRT E CSIRT F CSIRT G CSIRT C CSIRT D 73

74 CSIRT のサービス 74

75 CSIRT のサービス サービス一覧 Reactive Service + アラート及び警告 + インシデントハンドリング - インシデント分析 - 現場でのインシテ ントレスホ ンス - インシテ ントレスホ ンスサホ ート - インシデントレスポンス調整 + 脆弱性ハンドリング - 脆弱性分析 - 脆弱性レスポンス - 脆弱性レスポンス調整 + アーティファクトハンドリング - アーティファクト分析 - アーティファクトレスポンス - アーティファクトレスホ ンス調整 Proactive Service アナウンスメント 技術動向監視 セキュリティ監査或いはアセスメント 調整 セキュリティツール / アプリケーションメンテナンス インフラ整備 セキュリティツールの構築 不正検知サービス セキュリティ関連情報の提供 Security Quality Management Service リスク分析 事業継続及び災害復旧計画 セキュリティコンサルタント セキュリティ意識啓発 教育 / トレーニング 製品の評価及び検証 75

76 CSIRT のサービス サービスの分類 Reactive Service Reactive: 反応 各インシデント報告や不正検知システムなどからの情報による活動 CSIRT のもっともコアな活動 Proactive Service Proactive: 先を見越す 事前にソフトウェアなどの脆弱性 脅威情報 攻撃予測情報などを提供する活動 直接的にインシデント発生の抑制を図る Security Quality Management Service セキュリティコンサルタント 教育など 他のセキュリティー会社がすでに提供済みだが CSIRT としての視点や専門知識での見識を提供できる 間接的にインシデント発生の抑制を図る 76

77 CSIRT のオペレーション 77

78 CSIRT のオペレーション 3 つの重要なプロシージャー 1. インシデント発生前 インシデントリスクを軽減 リスクがどこにあるかを知る必要がある CSIRT とユーザのためのインシデント対応準備 2. インシデント発生時のレスポンス インシデントの対応手順の文書化 3. インシデント発生後 何が起こったのかを検証 サービス対象と CSIRT にとって有益なことを学ぶ 78

79 CSIRT のオペレーション インシデント発生前 セキュリティポリシーと実施計画 組織はセキュリティ手段を理解し 定義しなければならない また 全てが関連していなければならない 予防活動の手段 監査 リスクマネージメント バックアップ ログ 防御 (Firewall など ) パッチ ( アップデート ) CSIRT の情報とツール 連絡先の確保 IP アドレス表 診断 / 修正ツール CSIRT からの公表資料 内部向けの やニュースレター Web page トレーニング ワークショップなど 79

80 CSIRT のオペレーション インシデント発生時のレスポンス プロシージャー確立のねらいは 一貫性の確保とストレスの軽減 事前に より多くの判断事項を作成しておく インシデント対応中の判断は ミスが多い インシデントの分類は 違うことを想定 常に 2 つのプランを用意すれば あるインシデントに対して どうやって 正しいほうを選ぶのかを知ることができる 可能であれば 演習として計画を立ててみる 他の事例はどうしてうまく処理できたのか? 経験から学んだことを手順に反映させる 80

81 CSIRT のオペレーション インシデントレスポンスの例 1. 報告受け付けと分類 重要度優先度評価 ( トリアージ ) 2. 作業記録 ( 対応時刻 担当者 内容など ) 3. インシデントの妥当性評価と分析 4. 告知 ( 最初の一度だけする場合がある ) 5. エスカレーション ( インシデントのタイプやサービスレベルによる ) 6. 抑制措置 7. 原因追求及び証拠収集 ( 場合によっては 起訴のため ) 8. 除去及び復旧 81

82 CSIRT のオペレーション インシデント発生後 再発の可能性の軽減 改善或いは ( 必要であれば ) 法的措置 攻撃者の特定 教育 訓練 被害に対する起訴 クローズ ( 問題解決 ) モニタリング ( 回復したシステムのチェック ) インシデントとレスポンスの検証 インパクトの評価 82

83 有効に機能するための CSIRT の要件 83

84 有効に機能するための CSIRT の要件 Constituency の定義がされていること Incident Handling していること Coordination( 調整 ) できること 信頼できるコンタクトポイントが提供されていること 84

85 世界の CSIRT コミュニティとその動向 85

86 FIRST Forum of Incident Response and Security Teams 1990 年に CERT/CC などが中心となって設立 世界中の CSIRT 同士の交流を目的にした組織 情報の共有 インシデント対応 (Incident Response) の国際協力 86

87 FIRST 参加チーム Copyright by FIRST.org, Inc. 87

88 JPCERT/CC の FIRST への関わり 国際連携 FIRST(Forum of Incident Response and Security Team) に JPCERT/CC 職員が理事として 組織運営に参画 FIRST へ国内外 5 組織の加盟を支援 HIRT(Japan) NTT-CERT(Japan) Infosec(Korea) ThaiCERT(Thai land) SBB-SIRT(softbankBB,Japan)

89 APCERT Asia Pacific Computer Emergency Response Team 2003 年 2 月設立 アジア太平洋地域の CSIRT フォーラム Steering Committee Member Secretariat 年次定例会議としての APSIRC 2006 年 3 月北京で開催予定 89

90 APCERT メンバーチーム AusCERT - Australia BKIS -Vietnam CCERT - People's Republic of China CNCERT/CC - People's Republic of China KrCERT - Korea SecurityMap.Net CERT - Korea HKCERT - Hong Kong, China IDCERT - Indonesia JPCERT/CC Japan MyCERT - Malaysia PH-CERT - Philippine SingCERT - Singapore ThaiCERT - Thailand TWCERT/CC - Chinese Taipei TWNCERT - Chinese Taipei - BruCERT - Negara Brunei Darussalam GCSIRT - Philippine - 90

91 JPCERT/CC の APCERT への関わり アジア太平洋地域における国際連携活動 APCERT( アジア太平洋コンピュータ緊急対応チーム ) の理事メンバーとして事務局を担当 APCERT へ新規に加盟する CSIRT の支援 CERT-In (Indian Computer Emergency Response Team), India アジア太平洋地域における CSIRT 構築の支援 91

92 CSIRT コミュニティにおける動向 1/3 ユーザー側へのセキュリティサポートを重点化 早期警戒情報発信サービス CSIRT 間国際ネットワークを通して様々な情報が集約される : 脆弱性情報 インシデント情報 トラフィックモニタリング情報など 集約される情報を分析して 早期警戒情報を発信 JPCERT/CC においても早期警戒情報発信サービスを開始 経営トップへの働きかけ 世界的な CIO CEO フォーラム構築 経営層における CSIRT の活動の認知 92

93 CSIRT コミュニティにおける動向 2/3 ユーザー側へのセキュリティサポートを重点化 サイバーセキュリティ演習の実施 インシデント情報ハンドリングの専門組織として これまでの実績や経験を基に シナリオを作成したり 演習実施の実働部隊として機能 JPCERT/CC においてもサービスを実施 脆弱性プライオリティツールの仕様作成 脆弱性の脅威度は ユーザーによって異なる CSIRT 間にて 作成を進めている 93

94 CSIRT コミュニティにおける動向 3/3 インシデント対応の為の情報共有には 重層的な協力関係が必要 インシデント対応 脆弱性対応するには 様々な関係者との情報共有が必須 特に機密性の高い情報共有の難しさ 政府機関 法執行機関 競争関係にある組織間 国際間 CSIRTは コミュニケーションが難しい当事者同士 関係者間の情報連携を橋渡しする役目を担ってきた CSIRTコミュニティとして 通信事業者だけでなく インフラ事業者 経営者層 ベンダ 政府 法執行機関含めた さまざまな関係者との関係構築をはじめている 94

95 (C) 2003 Carnegie Mellon University; Revised July

96 まとめ 組織的なインシデント対応体制構築の必要性 インシデントの発見 対応 再発防止 横断的な情報共有体制 セキュリティは人の 意識 の問題 教育 トレーニングの重要性 企業文化の一種としての情報セキュリティ 96

97 メーリングリストのご案内 JPCERT/CC が発行するメーリングリスト 注意喚起 緊急報告 JPCERT/CC レポート 技術メモ 活動概要 その他お知らせ 加入方法はウェブサイトをご覧ください 97

98 参考資料 JPCERT Coodrination Center : JPCERT/CC JP Vendor Status Notes : JVN CERT Coordination Center : CERT/CC FIRST APCERT IETF Working Group Extended Incident Handling (inch)

99 お問い合わせ先 有限責任中間法人 JPCERT コーディネーションセンター Tel: 早期警戒グループ PGP Fingerprint :470F F413 3DCC 5D38 7CAC C4 944B 298F 386F 99