なぜシーサートが必要なのか～ CSIRTの現状と構築のすすめ～

Size: px

Start display at page:

Download "なぜシーサートが必要なのか～ CSIRTの現状と構築のすすめ～"

ためひとあさぶき
5 years ago
Views:

1 なぜシーサートが必要なのか CSIRT の現状と構築のすすめ本コンピュータセキュリティインシデント対応チーム協議会 (NCA) 副運営委員萩原健太平成 28(2016) 年 10 18

次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer

体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を

本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割

2 次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer Security Incident Response Team (CSIRT シーサート ) 体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を援しています本講演では本シーサート協議会の活動ならびに企業におけるシーサートの役割を紹介しますシーサートとは本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割シーサートの構築本シーサート協議会の役割 Copyright 2016 CSIRT Association, All rights reserved. 2

3 1 シーサートとは Computer Security Incident Response/Readiness Team の略シーサート (CSIRT) Computer Security Incident Response Team コンピュータセキュリティにかかるインシデントに対処するための組織の総称 ( 機能 ) インシデント関連情報脆弱性情報攻撃予兆情報を収集分析し対応針や順の策定などの活動シーサートの的場 ( 組織内での位置付け ) 活動範囲法的規制などの違いからそれぞれ各チームがそれぞれの組織において独の活動している CSIRT に規格はなく各組織の実態に即した CSIRT を実装 1 つとして同じ CSIRT は存在しない注 :Cyber Security Incident Readiness Team と呼ぶ場合もある Copyright 2016 CSIRT Association, All rights reserved. 3

5 1 シーサートとは般的に認識されているシーサートの役割レディネス : 事前対処インシデントハンドリングレスポンス : 事後対処攻撃予告 X による侵害活動が発した場合攻撃予告 X の情報公開攻撃予告 X による侵害活動の発侵害活動の沈静化脆弱性対策期間インシデント対応期間公開された脆弱性 Y を悪した侵害活動が発した場合脆弱性 Y の発脆弱性 Y の情報公開脆弱性 Y を悪した侵害活動の発侵害活動の沈静化脆弱性対策期間インシデント対応期間脆弱性ハンドリング被害の未然防発被害の極化 ( 再発 ) 防策の検討と展開脆弱性や攻撃予告に関する情報の収集分析と早期検知適材適所への迅速な情報伝達と技術援 Copyright 2016 CSIRT Association, All rights reserved. 5

6 1 シーサートとは歴史インターネットワームの出現を契機に CERT/CC 設 1988 年のインターネットワームの出現を契機にインシデントの原因や対応法などの情報を共有することの重要性が認識された 1988 年国防総省等研究計画局 (DARPA: Defense Advanced Research Projects Agency) が中となり CERT/CC を設した 1989 年 10 SPAN VAX/VMS システムを攻略する Wank ワームが出現した際に国境組織をまたがったシーサート間のコミュニケーションの落が適切なインシデント対応の推進を妨げた 1990 年インシデント対応チームの組織間ならびに国際間連携のため学研究機関企業政府軍などのシーサートコミュニティから構成される FIRST が組織された 1996 年国内初のシーサート組織 JPCERT/CC(Japan Computer Emergency Response Team/Coordination Center) が活動を開始した Copyright 2016 CSIRT Association, All rights reserved. 6

7 1 シーサートとは歴史電メール型ワーム (1999 年 ) ネットワーク型ワーム (2000 年 ) ボット (2004 年 ) 標的型メール攻撃 (2005 年 ) 2007 年国内のインシデント対応チームの組織間連携のため本シーサート協議会が設された標的型攻撃の顕在化 (2011 年 ) 2012 年内閣官房情報セキュリティセンター内に情報セキュリティ緊急援チーム (CYber incident Mobile Assistant Team:CYMAT) が発された CERT/Coordination Center ( 設当初は Computer Emergency Response Team の略であった ) 国におけるセキュリティ事案情報脆弱性情報の収集ならびに調整機関 FIRST (Forum of Incident Response and Security Teams) 信頼関係に結ばれた世界におけるシーサートの国際コミュニティ 2015 年 9 末現在 73 カ国 328 チームが加盟 Copyright 2016 CSIRT Association, All rights reserved. 7

Web サイト侵害 Winny Share による情報流出フィッシングスパイウェアボットなどすべてが異なる局所的な被害標的型攻撃攻撃組織基盤化 2009 年攻撃組織間連携異なる組織のシーサート同

8 1 シーサートとは歴史より度なシーサート連携が求められてきている年代特徴被害の模式図 2000 年 2001 年 2000 年 2005 年 2005 年 2006 年均的かつ広範囲に渡る単発被害 Web サイトのページ書き換え均的かつ広範囲に渡る連鎖型被害ウイルス添付型メールの流布ネットワーク型ワームの流布類似した局所的な被害 SQL インジェクションによる Web サイト侵害 Winny Share による情報流出フィッシングスパイウェアボットなどすべてが異なる局所的な被害標的型攻撃攻撃組織基盤化 2009 年攻撃組織間連携異なる組織のシーサート同がつながり段を共有することで問題解決を図る異なる組織のシーサート同がつながり侵害活動を瞰することで問題解決を図る Copyright 2016 CSIRT Association, All rights reserved. 8

9 1 シーサートとは分類シーサートは多種多様活動範囲の視点から組織内シーサート国際連携シーサートコーディネーションセンター分析センター製品対応チームインシデントレスポンスプロバイダなどに分類されることもあるがサービス対象内容体制などの違いによって多種多様なシーサートが構成されている対象範囲 : 国組織顧客内容 ( フェーズ ): 事前対処事後対処内容 ( 機能 ): 脆弱性ハンドリングインシデントハンドリング動向分析リスク分析など体制 : 集約型 / 分散型専任型 / 兼務型組織内シーサート組織内に関係したインシデントに対応するシーサートと定義する製品 / サービス対応シーサート提供する製品やサービスのインシデントに対応するシーサートと定義する Copyright 2016 CSIRT Association, All rights reserved. 9

10 1 シーサートとは分類対象範囲内容 ( フェーズ ) 内容 ( 機能 ) による分類サービス対象内容体制などの違いによって多種多様なシーサートが構成されている製品 / サービス対応チーム対象範囲 : 国 HIRT Rakuten CERT US CERT JPCERT/CC IBM CSIRT NTT CERT JSOC 事前対処 HIRT 事後対処組織内シーサート OKI CSIRT NCSIRT インシデントレスポンスプロバイダ NTT CERT OKI CSIRT 対象範囲 : 組織 Copyright 2016 CSIRT Association, All rights reserved. 10

jpcert.or.jp/csirt_material/files/guide_ver1.0.

13 次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer Security Incident Response Team (CSIRT シーサート ) 体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を援しています本講演では本シーサート協議会の活動ならびに企業におけるシーサートの役割を紹介しますシーサートとは本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割シーサートの構築本シーサート協議会の役割 Copyright 2016 CSIRT Association, All rights reserved. 13

14 2 組織概要設 2007 年 3 名称正式名称 : 本コンピュータセキュリティインシデント対応チーム協議会略称 : 本シーサート協議会英語名 :NIPPON CSIRT ASSOCIATION ウェブ : 使命本協議会の全会員による緊密な連携体制等の実現を追及することにより会員間に共通する課題の解決を指す社会全体のセキュリティ向上に必要な仕組みづくりの促進を図る Copyright 2016 CSIRT Association, All rights reserved. 14

16 2 加盟企業の分類業種による分類多様な分野でシーサート構築が進んでいる [N=173] 産鉱業建設品繊維パルプ紙化学業医薬品油ゴム窯業鉄鋼業鉄属属製品機械電気機器造船動動部品その他輸送機器精密機器その他製造業商社売業銀証券保険その他融業不動産鉄道バス陸運海運空運倉庫運輸関連通信電ガスサービス業 (IT 関連 ) サービス業 ( IT 関連 ) 学術 ( 学研究機関 ) その他 Copyright 2016 CSIRT Association, All rights reserved. 16

17 2 加盟企業の分類シーサート設年と加盟年の推移年以降シーサート設と加盟が急速に進んでいる [N=173] シーサート設加盟本シーサート協議会加盟 2014 年 5 政府機関の情報セキュリティ対策のための統基準群 : シーサートに及 2013 年 3 FISC 融機関等コンピュータシステムの安全対策基準解説書( 第 8 版追補 ) : シーサート設置に及 2012 年 1 19 情報セキュリティ対策推進会議情報セキュリティ対策に関する官連携の在りについて : シーサートに及 2011 年 9 防衛産業企業への標的型攻撃 2011 年 4 規模サイバー攻撃事案 2015 年 6 公共機関 ( 特殊法 ) への標的型攻撃 2015 年 4 融庁融機関に係る検査マニュアル : シーサート設置に及 2015 年 3 総務省地公共団体における情報セキュリティポリシーに関するガイドライン : シーサート設置の及 2015 年 12 経済産業省サイバーセキュリティ経営ガイドライン : シーサート設置や NCA に及年 7 制御システムを攻撃対象とした Stuxnet( スタクスネット ) の流布 Copyright 2016 CSIRT Association, All rights reserved. 17

19 次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer Security Incident Response Team (CSIRT シーサート ) 体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を援しています本講演では本シーサート協議会の活動ならびに企業におけるシーサートの役割を紹介しますシーサートとは本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割シーサートの構築本シーサート協議会の役割 Copyright 2016 CSIRT Association, All rights reserved. 19

活動開始後に増員しており全体としてスモールスタート取り纏め部署チームの数 ( 上 : 設時下 :

20 3 アンケートからえてきたシーサート活動体制日本シーサート協議会加盟組織向け 2014 年アンケート結果より加盟組織の体制 (1) 加盟組織の多くは情報システム管理部系が取り纏め部署チーム数は活動開始後に増員しており全体としてスモールスタート取り纏め部署チームの数 ( 上 : 設時下 : 活動開始後 ) Copyright 2016 CSIRT Association, All rights reserved. 20

専任のシーサート要員を抱えた部署を核とした部署横断型部署間を横断した組織体制の構築実装の形態

23 3 アンケートからえてきたシーサート活動体制日本シーサート協議会加盟組織向け 2014 年アンケート結果よりインシデント対応時のシーサートの位置付けこれまでの本企業独の形態として紹介してきた技術アドバイザという側に加え組織内の横断的な協体制整備のためのコーディネーター ( 調整役 ) の側が顕在化インシデント対応時のシーサートの位置付け Copyright 2016 CSIRT Association, All rights reserved. 23

24 次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer Security Incident Response Team (CSIRT シーサート ) 体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を援しています本講演では本シーサート協議会の活動ならびに企業におけるシーサートの役割を紹介しますシーサートとは本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割シーサートの構築本シーサート協議会の役割 Copyright 2016 CSIRT Association, All rights reserved. 24

25 4 企業におけるシーサートの役割シーサート活動から導かれる企業におけるシーサートの役割対外的な連絡窓であること技術的な問合せに関して対応が可能であることインシデントレスポンス ( 事後対処 ) だけではなくインシデントレスポンスなどの実践的な活動経験を元にインシデントレディネス ( 事前対処 ) を進めていること部署間を横断した組織体制をとっていること Copyright 2016 CSIRT Association, All rights reserved. 25

26 4 対外的な連絡窓対外的な連絡窓が明らかになっていることの利点 [ 通知側 ] 脆弱性対策やインシデント対応の通知先を探さずに済む通知の背景説明を省略できる通知をたらい回しにされない [ 受領側 ] 通知をトリガに脆弱性対策やインシデント対応をベストエフォートで動かし始めることができるシーサート = 対外的な連絡窓 (Point of Contact) Copyright 2016 CSIRT Association, All rights reserved. 26

27 4 技術的な問合せに対応可対外的な連絡窓が技術的な問合せに関しても対応可能であることの利点 [ 通知側 ] 脆弱性対策やインシデント対応の技術的な通知をたらい回しにされない連絡窓 ( シーサート ) に期待したい要件技術的な視点で脅威を推し量り伝達できること技術的な調整活動ができること技術での対外的な協ができること技術的な通知や依頼に対して対処してくれることを期待しているのであり必ずしもシーサート内に技術的な専家が必要であるという指摘ではないまず重要なのは技術ではなくコミュニケーション能 Copyright 2016 CSIRT Association, All rights reserved. 27

28 4 インシデントレディネス ( 事前対処 ) インシデントレスポンス ( 事後対処 ) などの実践的な活動経験を元にインシデントレディネス ( 事前対処 ) を進めることの重要性経験シーサートの役割 ( 再発 ) 防策の検討と展開被害の未然防脆弱性や攻撃予告に関する情報の収集分析と早期検知被害の極化適材適所への迅速な情報伝達と技術援経験があるからこそ問題解決に向けての想像も働く経験ができないならば他のインシデントレスポンス ( 事後対処 ) の疑似体験を通して問題解決に向けての想像を養う Copyright 2016 CSIRT Association, All rights reserved. 28

29 4 部署間を横断した組織体制シーサート実装の多くは専任のシーサート要員を抱えた部署を核とした部署横断型部署間を横断した組織体制の構築すなわち組織内の横断的な協体制整備への期待サイバーセキュリティ対策の推進特定の部署だけが頑張れば良い ( お任せ ) モデルから組織全体で頑張る ( 連帯 ) モデルへシーサートは万能薬ではない組織のセキュリティ化そのもの Copyright 2016 CSIRT Association, All rights reserved. 29

30 次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer Security Incident Response Team (CSIRT シーサート ) 体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を援しています本講演では本シーサート協議会の活動ならびに企業におけるシーサートの役割を紹介しますシーサートとは本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割シーサートの構築本シーサート協議会の役割 Copyright 2016 CSIRT Association, All rights reserved. 30

33 5 Service( 役務内容 ) を考える出典 : 本シーサート協議会 CSIRTスタータキットシーサートが提供するサービスは何かシーサートのサービスを定義するインシデント事後対応サービスインシデントの被害局限化を的としたインシデントやインシデントに関連する事象への対応をうためのサービスインシデント事前対応サービスインシデントの発抑制を的としたインシデントやセキュリティイベントの検知や発の可能性を減少させるためのサービスセキュリティ品質向上サービス社内セキュリティの品質を向上させることを的としたサービス CSIRT としての視点や専知識での識を提供し社内組織と連携することにより効果的な活動を実施できる間接的にインシデントの発抑制をすることが可能 Copyright 2016 CSIRT Association, All rights reserved. 33

35 次サイバー攻撃に対するセキュリティ施策としてインシデント対応情報交換や組織間の連携など Computer Security Incident Response Team (CSIRT シーサート ) 体制による活動への期待がまっています本シーサート協議会では連携と問題解決の場の提供を通してシーサート活動を援しています本講演では本シーサート協議会の活動ならびに企業におけるシーサートの役割を紹介しますシーサートとは本シーサート協議会の活動アンケートからえてきたシーサート活動体制企業におけるシーサートの役割シーサートの構築本シーサート協議会の役割 Copyright 2016 CSIRT Association, All rights reserved. 35

36 6 場の整備国内のシーサートコミュニティの急速な拡への対応 { 組織間の協 x( 事前対処 + 事後対処 )} に向けた場の提供分野横断的な場の提供セキュリティ業界のパイプ役 { 組織間の協 x( 事前対処 + 事後対処 )} に向けた場の整備ディレクトリ ( 本シーサート協議会加盟組織覧 ) の整備シーサート活動の暗黙知 ( 慣習 ) の明化国内のシーサートコミュニティがいざというときに協して活動できるための場の提供と整備 Copyright 2016 CSIRT Association, All rights reserved. 36

6 シーサート連絡窓 (PoC) の整備アドレス帳 ( 本シーサート協議会加盟組織覧 ) の整備体制対象とする分野取りまとめる部署などのアンケート調査の集計結果と共にチーム情報をまとめた資料シーサート連絡窓 (PoC: Point of Contact) の整備チーム情報チーム連絡窓 1.

37 6 シーサート連絡窓 (PoC) の整備アドレス帳 ( 本シーサート協議会加盟組織覧 ) の整備体制対象とする分野取りまとめる部署などのアンケート調査の集計結果と共にチーム情報をまとめた資料シーサート連絡窓 (PoC: Point of Contact) の整備チーム情報チーム連絡窓 1. チームアドレス 2. チーム Web サイトチーム紹介 1. 概要 2. 設の経緯背景 3. 会社内における位置づけおよび活動内容 Copyright 2016 CSIRT Association, All rights reserved. 37

38 6 ワーキンググループ活動ワーキンググループ問題提起と解決のための活動としてワーキンググループをち上げ会員ならびに協議会外部の協者と共に問題解決を図っていきますシーサート構築前共通シーサート WG + 構築推奨 SWG + 課題検討 SWG 活動中のワーキンググループの位置付け Copyright 2016 CSIRT Association, All rights reserved. 38 シーサート構築後 ( 本シーサート協議会加盟後 ) 個別 +CSIRT 材 SWG 2016 年 9 時点個別脅威情報共有 WG インシデント情報活フレームワーク検討 WG Honeynet Project Japan Chapter WG インシデント事例分析 WG インシデント対応検討 WG トランジッツ WG SSH サーバセキュリティ設定検討 WG アンケート情報活 WG インシデント対応訓練法検討 WG サイバーセキュリティ研究動向 WG セキュリティレポーティング WG CSIRT チームトレーニング WG ログ分析 WG

40 6 場の整備シーサート活動の暗黙知 ( 慣習 ) の明化語の定義差異を踏まえた対応あなたが使っているインシデントと先が使っているインシデントは同じですか? 本シーサート協議会に加盟している組織を俯瞰すると体制対象とする分野取りまとめる部署などつとして同じ形態のシーサートはなく百社百様語の使いについても違いがでてきている同じ単語が必ずしも同じものを意図するわけではない Copyright 2016 CSIRT Association, All rights reserved. 40

ご清聴ありがとうございましたシーサート同の積極的なコミュニケーションを図ることによってより良いセキュリティ対応を考えそして実現していきますシーサートに関して : csirt-pr@nca.gr.

日本企業のCSIRT実例紹介

日本企業のCSIRT実例紹介あなたの会社の情報セキュリティ対応体制は大丈夫? ~CSIRT 入門 ~ 日本企業の CSIRT 実例紹介日本シーサート協議会専門委員山賀正人はじめに CSIRT に規格はない RFC 2350 Expectations for Computer Security Incident Response 各企業の実情現状に即した CSIRT の実装二つとして同じ CSIRT は存在しない実例を参考に