<4D F736F F F696E74202D208A438A4F82CC835A834C A CE8DF482CC93AE8CFC82C982C282A282C4>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D208A438A4F82CC835A834C A CE8DF482CC93AE8CFC82C982C282A282C4>"

かねろうひがき
4 years ago
Views:

1 海外のセキュリティ対策の動向について ( 水 ) JPCERT/CC コーディネーションセンター早期警戒グループ情報セキュリティアナリスト名和利男 1

2 アジェンダそもそも対策とは? 海外のセキュリティ対策の概観コミュニティの活発な活動テクニカルトレーニング対応体制の Dry run( 予行演習 ) セキュリティ対策に必要なテクニックアドバイザリー ( 注意喚起 ) を出す際の注意喚起 2

3 そもそも対策とは? 3

4 そもそも対策とは? 対策好ましくない事態の出現を解決するために取るまた相手の態度や事件の成行きに応じて取る手段方策 ( 新明解国語辞典, 第五版 (C) 三省堂より ) みなさんにとって何が好ましくない事態なのか? これまでのトラブルやインシデントの対応で困った経験から思い描いてみてくださいどんな解決手段や方策があるのか? 相手の態度や事件の成行きに応じてということを念頭において思い描いてください 4

5 海外のセキュリティ対策の概観 5

6 海外のセキュリティ対策の概観すべての対策に係る活動の基盤は信頼 (Trust) 海外のセキュリティ対策の動向を概観するとコミュニティの活発な活動インシデント対応に必要な国際間連携最新のインシデントや対策技術に関する情報共有などの活動が見られる 2. テクニカルトレーニングインシデント対策に必要なノウハウや技術の習得や各種ツールを活用した分析手法などが顕著に見られる 3. 対応体制の Dry run( 予行演習 ) インシデントへの対応体制の構築後意図どおりに機能するかのテストと関連するルールの適合性や担当者の習得度合いを測るために活用されている 6

7 1. コミュニティの活発な活動 APCERT と TF-CSIRT TF-CSIRT APCERT 7

8 1. コミュニティの活発な活動 APCERT と TF-CSIRT TF-CSIRT TF-CSIRT はヨーロッパの研究グループ (TERENA) の 1 Task Force として 2000 年に設立主な活動概要 CSIRT Start kit サイトの提供 Trusted Introducer for CSIRT in Europe フォーラムに参加する条件を既存メンバの推薦や信頼性によるレベル分け年に 3 回のミーティング CHIHT - Clearinghouse of Incident Handling Tools ( インシデントハンドリングに必要なツールやガイドラインなどの情報を収集している IODEF - Incident Object Description and Exchange Format 異なる CSIRT 間においてインシデントに関する情報をやり取りするための共通データフォーマットを構築 RTIR Request Tracker for Incident Response WG インシデントハンドリングに役立つ Web アプリ ( 8

9 コミュニティの活発な活動 APCERT と TF-CSIRT TF-CSIRT 9

10 コミュニティの活発な活動 APCERT と TF-CSIRT APCERT はアジア太平洋地域の CSIRT で構成される組織で現在 14 の経済地域から 18 チームが参加している設立は 2003 年 2 月主な活動内容 APCERT Annual Conference( 年次総会 ) 2002( 東京 ) 2003( 台湾 ) 2004( マレーシア ) 2005( 京都 ) 2006( 北京 ) 2007( マレーシア ) Steering Committee( 運営委員会 ) 3 ヶ月に一回の電話会議 6 ヶ月に 1 回の集会ワーキンググループ Accreditation WG( メンバ審査方針など ) Training & Communication WG( 情報共有など ) Finance WG( 会議開催費設定など ) MOU with TF-CSIRT 2005 年 6 月協力関係と情報共有に関する合意趣意書を締結 International Incident Handling Drill 国際間インシデントハンドリング連携の確認及び強化を図る目的で過去 3 回実施インド (2006 年 2 月 ) 及びベトナム (2006 年 11 月 ) に対する National CSIRT 構築支援 APCERT 10

11 1. コミュニティの活発な活動 APCERT と TF-CSIRT CNCERT/CC CCERT KrCERT/CC SecurityMap.Net CERT JPCERT/CC HKCERT BKIS ThaiCERT MyCERT SingCERT IDCERT TWNCERT TWCERT/CC PH-CERT GCSIRT BruCERT AusCERT APCERT 11

12 1. コミュニティの活発な活動 FIRST FIRST 12

13 1. コミュニティの活発な活動 FIRST FIRST FIRST (Forum of Incident Response and Security Teams) は世界中の CSIRT 同士の交流を目的として米国 CERT/CC などが 1990 年に設立主な活動概要 Annual Conference の開催誰でも参加可能なカンファレンス 2005 年 ( シンガポール ) 2006 年 ( 米国ボルチモア ) 2007 年 ( スペインセビリァ ) Technical Colloquium の開催 ( 年に 3 回 ) FIRST メンバのみ限定テクニカルに特化したワークショップ 2006 年 ( オランダアムステルダム )( 韓国ソウル )( ブラジルリオデジャネイロ ) 2007 年 ( ハンガリーブタベスト )( 米国ワシントン DC)( カタールドーハ ) メーリングリスト及び IRC によるリアルタイムな情報共有環境の提供メンバ相互のインシデントハンドリング連携 13

14 1. コミュニティの活発な活動 FIRST 2007 Annual Conference! ( ) 14

15 1. コミュニティの活発な活動 FIRST FIRST 15

16 1. コミュニティの活発な活動 FIRST FIRST 日本の加盟チーム 16

17 2. テクニカルトレーニング世界中で行われているテクニカルトレーニング継続的に実施されているトレーニングの例欧州 TERANA の TRANSITS Training 米国 CMU の Creating a CSIRT Workshop FIRST の Technical Colloquium その他の例 APEC TEL の 2006 APEC Security Training Course %20APEC%20SECURITY%20TRAINING%20COURSE.pdf G8 の Second Training Conference of the G8 24/7 Computer Crime Network ating_economic_crime/3_technical_cooperation/cyber/g8%2024-7%20agenda%20rome.pdf セキュリティ対策に有益な情報のあるサイトの活用 17

2. テクニカルトレーニング欧州 TERENA の TRANSITS Training http://www.ist-transits.

18 2. テクニカルトレーニング欧州 TERENA の TRANSITS Training CSIRT(Computer Security Incident Response Team) の設立を促進及び既存の CSIRT の対応能力を向上させることを目的としたヨーロッパのプロジェクト右図の5つのモジュールで構成されたマテリアル著作権所有者は TERENA FIRST メンバであれば許諾を受けてマテリアルを活用してワークショップを開催可能これまでのトレーニング開催地の例チェコ (2004 年 ) フランス(2005 年 ) ポルトガル (2005 年 ) ボルチモア(2006 年 ) 韓国 (2006 年 ) ブラジル(2006 年 ) など TRANSITS Final Report (IST ) から引用 18

19 2. テクニカルトレーニング米国 CMU の Creating a CSIRT Workshop CSIRT を構築しなければならない管理者に対する1 日コースのトレーニング CSIRT 構築の要件定義と計画の作成から CSIRT の設立に必要なサービスの定義ポリシー及びプロシージャーなどの立案に役立つ参加条件は特にない費用が $1,000 かかる基本的には米国で開催されるが米国以外でも開催されることがある 19

20 2. テクニカルトレーニング FIRST Technical Colloquium インシデントレスポンスチームなどの活動に必要な脆弱性情報最新のインシデント動向及びツールなどについて情報交流し Hand-on スタイル ( 育成型で実践を伴う ) で高度なテクニカルトレーニングを行う参加者条件は FIRST メンバであること参加費用は基本的にかからない期間は基本的に 2 日間これまでの開催地の例オランダ (2006 年 ) 韓国 (2006 年 ) ブラジル (2006 年 ) ハンガリー (2007 年 1 月 ) 米国 (2007 年 3 月 ) カタール (2007 年 4 月 ) 20

21 2. テクニカルトレーニングセキュリティ対策に有益な情報のあるサイトの活用 CSIRT Development (CERT/CC) CSIRT Start Kit (TERENA) Forming an Incident Response Team (AusCERT) 技術メモ - コンピュータセキュリティインシデントへの対応 (JPCERT/CC) Expectations for Computer Security Incident Response (RFC 2350) 21

22 3. 対応体制の Dry run( 予行演習 ) セキュリティ対策をさまざまな形態で施した後 ( 特にインシデント対応体制の構築など ) それが以下のポイントでテスト或いは試行しているきちんと機能するかどうか? 関係するルールなどに影響は受けないか? 担当者の習熟度は十分か? 予行演習に最適な方法として利用される方法 Tabletop Exercise 意思決定者キーパーソンインシデントレスポンスを実際にする方が参加ファシリテーター ( 状況付与兼進行役 ) の司会によるディスカッション形式シナリオは実情にあった想定のもの基本的にはクローズな形で実施しディスカッション内容については公開しない 22

23 3. 対応体制の Dry run( 予行演習 ) 海外の状況米国 Cyber Strom ( ) 米国政府主導による国家レベルの演習で高度なサイバー攻撃への準備能力を評価する目的で実施 DHS Releases Cyber Storm Public Exercise Report APCERT International Incident Handling Drill ( ) APCERT 及び APEC TEL 加盟の経済地域から 15 チームが参加しマルウェアが埋め込まれたサイトを遮断するインシデント対応ドリルを実施 JPCERT/CC 報道発表資料 23

24 3. 対応体制の Dry run( 予行演習 ) 国内の状況総務省による電気通信事業分野におけるサイバー攻撃対応演習 (2007 年 1 月から 2 月の間に実施 ) 総務省報道資料日本政府主導による重要インフラにおける分野横断的演習 ( 机上演習 ) の実施情報セキュリティ政策会議報道発表資料関連ニュース記事 (2/7 政府 IT 障害の机上訓練を実施 ) 24

25 セキュリティ対策に必要なテクニックアドバイザリー ( 注意喚起 ) を出す際の留意点 25

26 アドバイザリー ( 注意喚起 ) を出す際の留意点誰に対して出すのか? 誰のためのものなのかを念頭に入れて適切な文言を使用することシステム / ネットワーク管理者に対して? 一般ユーザに対して? 読者の IT リテラシーなどにばらつきがある場合はすべての読者が理解できる内容にすること難解な言い回しは避ける読者にとって馴染みのない専門用語には注釈をつけるなどの配慮をする 26

27 アドバイザリー ( 注意喚起 ) を出す際の留意点どのような内容を含めるべきか? アドバイザリーのステータス草案版暫定版最終版更新版脆弱性の対象基本ソフトアプリケーションファームウェア被害の種類 DoS 不正侵入脅威の分析現実に発生中想定事象脆弱性或いは不正侵入の検知方法問題解決方法運用方法の変更パッチの適用修復作業による他の影響 27

28 アドバイザリー ( 注意喚起 ) を出す際の留意点アドバイザリー配布 ( 公開時 ) に気をつけるべきことは? 可能な限りアドバイザリーに署名をつけることエンドユーザーまでに到達するまでに改ざんされていないことを証明するため署名をしたら必ず検証をするアドバイザリーに一連番号をつけること他のアドバイザリーとの仕分けを容易にできるステータス日時をつける ( 国外にも出す / 国外から参照される場合は UTC 表示 ) アドバイザリーはアーカイブしておくことアドバイザリーの更新や削除などの履歴は読者や発行者にとって有益なことが多い 28

29 連絡先 JPCERT コーディネーションセンター Tel: インシデント報告 PGP Fingerprint :BA F4 D9 FA B8 FB F EE 3C 2B 13 F0 48 B8 インシデント報告様式 29

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 office@jpcert.or.jp インシデントレスポンスとは Computer Security Incident ( 以降インシデントと略 ) コンピュータセキュリティに関係する人為的事象で意図的および偶発的なもの弱点探索リソースの不正使用サービス運用妨害行為など不正アクセス ( 行為 ) は狭義に規定された