セキュリティインシデントに正しく対処するために――、CSIRT/PSIRTの役割とBCP訓練の必要性

　一般社団法人 重要生活機器連携セキュリティ協議会（Connected Consumer Device Security Council、以下、CCDS）は10月30日、都内のフクラシア丸の内オアゾにて、「IoTセキュリティセミナー by CCDS」を開催した。

　本稿では、その概要を紹介する。なおセミナーのテーマは、CSIRT／PSIRTについてだ。

信頼できるものがつながれば全体が信頼できる

　CCDSは、ネットワーク接続される生活機器の各分野における動向調査、ガイドライン策定、セキュリティツール開発などを行う業界団体として2014年に設立された。

　設立目的は、以下のようなものである。

　セミナーのオープニングでは、CCDS理事の後藤厚宏氏（情報セキュリティ大学院大学学長）が、CCDSの活動について紹介するとともに、10月30日に発表されたサーティフィケーションプログラムについても触れた。

CCDS理事の後藤厚宏氏（情報セキュリティ大学院大学学長）

　さまざまな製品、デバイスがつながるこれからのIoT社会では、安心して使用できる製品のセキュリティ基準と、その基準が満たされていることを検証するスキームが必要になる。サーティフィケーションプログラムでは、安心して使える機器であることが分かるよう、セキュリティ基準を満たした製品であると認証するマークを発行するために、セキュリティ要件の検討などを進めていくという。

　後藤氏は、「作る段階からセキュリティを担保して、使う段階でのセキュリティを確保する」と表現する。

　一方で、セミナーのテーマであるCSIRT（Computer Security Incident Response Team）は、自社の情報セキュリティにおけるインシデント対応を行う組織である。また最近では、自社製品で発見された脆弱性などのインシデントに対応する組織の必要性も重視され始めている。それがPSIRT（Product Security Incident Response Team）だ。

　実際にこれらがうまく機能した事例として、セッションではドイツテレコムの“神”対応が紹介された。ドイツテレコムのホームルータをマルウェアに感染させてしまう攻撃により、90万人が影響を受けたという事件で、非常に素晴らしい事後対応がとられたという。後藤氏は、こうした対応をするためには「PSIRTとCSIRTの連携が重要」であると強調する。

　続くCCDS 代表理事、荻野司氏のセッションでは、情報セキュリティの専門家やハッカーが集結する米国のイベント「DEFCON 27」の様子や、さまざまなハッキング事例が紹介された。

　DEFCONでも最近はIoTが注目されているとのことで、「プリンタ、ビデオ、IP電話など『こんなところからハッキングされないだろう』という当たり前のものから侵入されている。組み込みシステムや、ファームウェアのアップデートなどのセキュリティ対策をユーザー側で対処してくれとはお願いできない。メーカー側で更新できる仕組みを用意すべき」だとする。

CCDS 代表理事の荻野司氏

　さらに、人材教育についても取り上げた。DEFCONではさまざまなVillage（各分野のブース）が開かれているが、「どこもCTF（Capture The Flag：技術を競う演習）が花盛り」だったという。

　「攻撃演習には実際に売っている製品が使われていたが、日本ではそれが難しい。大学ではさまざまな機器をラズパイで再現し、閉じたネットワーク環境を用意するなど、教えるのも大変」だという。

　さらに人材教育においては、マルウェアの扱い（保管方法、流出の防止）や解析（著作権、感染防止、業務フロー体制）に留意すべきと提言した。

事前のサイバーアタック経験が被害を最小化する

　セミナーでは、いくつかのベンダーによる技術セミナーのセッションもあった。ここでは、アライドテレシスのセッションを紹介する。

　社内ITの部門で働いたことがある人なら、アライドテレシスといえばいわゆる「LAN機器のベンダー」と認識していることと思う。アライドテレシス 上級執行役員 サイバーセキュリティDevOps本部 本部長の中島豊氏によれば、「アライドテレシスは、イーサネット、IPについて技術保有している国内唯一のハードウェアメーカー。最近は制御システム（OT：Operational Technology）にも納品している」と、自社の動向を紹介。

　「ネットワーク機器ベンダーとしては珍しく本社機構が日本にあるため、日本のスタンダードに合ったものを作り、それを海外向けにカスタマイズしてグローバルネットワークを形成している」（中島氏）とアピールした。

アライドテレシス 上級執行役員 サイバーセキュリティDevOps本部 本部長の中島豊氏

　ネットワーク機器には、「広帯域で遅延がない」ことが長く求められてきた。「とにかく土管は速く」（中島氏）ということだ。しかし、次第に攻撃が増え、「エンドポイントやゲートウェイだけでなく、イーサネットでも止める必要が出てきた」（中島氏）。

　そこでアライドテレシスでは、2015年ごろからセキュリティについての研究開発を進めている。それをビル制御システムなどにも拡大したことから、2019年6月にCCDSの幹事会員として入会したという。

　また、米国ではフィジカルも含めたセキュリティソリューションを提供し、サイバーセキュリティ演習も担当している。「システムだけで100％守り切れるわけではない。ガバナンスやコンプライアンスの部分は人の問題になるので、そこを埋めるのがセキュリティ演習になるのではないか」と中島氏は言う。セッションでは、CSIRTを支援できるものとして、以下の3つの取り組みを挙げた。

インシデント発生時のアクセス制限ネットワーク

　以下の図は、アクセス制限するネットワークの仕組みである。

アクセス制限ネットワークの仕組み

　かつての社内ネットワークは、機器をつなげばそのまま参加できるのが普通だった。このため、個人で無線LANアクセスポイントを持ってきてつなげることなども可能で、企業として何がつながっているか管理できないという、セキュリティ上のリスクが問題視されるようになった。

　ネットワークをソフトウェア制御するSDN（Software-Defined Networking）は、当初はコスト削減の要請から研究開発が進められたが、アクセス制御が容易になるため、セキュリティにも資することになる。

　図の中央あたりに示されている「SDN Manager」は、管理者が何をネットワークに接続させるかコントロールする機能である。セキュリティポリシーに合致したアクセス制御ポリシーを適用することで、つながせる／つながせないを管理する。無線LANアクセスポイント、パソコン、IoT機器など、ポリシーを書けばすべてのものについて制御が可能になる。これは、資産管理ソフトと連携すれば容易だ。

　また、制御は社内ネットワークから外に出ていく経路についても可能で、「このデバイスはこのクラウドにアップロード可能／不可能」という制御が可能になる。

　中島氏によれば、このネットワーク制御ポリシーは、かつてはブラックリストで記述されることが多かったという。「やってはいけないことリスト」による管理である。しかしその場合、そのリストに載っていなければ好ましくない通信も許してしまう（違法ではないが脱法の状態）。このため、最近はホワイトリストでの記述が流行っているのだという。「やっていいことリスト」に載っていなければ、デバイスはつなげないし、通信はできないというアプローチだ。

　ただし、セキュリティ製品は「高価だが利益を生むわけではない」という泣き所があり、導入するのは先進的な企業に限られるというのが課題だ。普及が進むためには何かメリットが必要となる。例えば、アクセス制御のためにはネットワークを可視化して把握する必要があるので、これを運用の効率化などに役立てることなどが考えられる。

　一方で、こうした仕組みはビル管理などにも適用できる。近年、不動産業界では「テナントがバリューを感じないと入居してくれない」と言われており、そのための投資としても有効だと中島氏は言う。

脆弱性所在の管理

　アライドテレシスでは、脆弱性の所在を確認し、管理するための脆弱性診断サービスを提供している。

脆弱性を管理する2つの診断サービス

　なお、脆弱性は常に変化していくため、「年に一度」など定期的に診断する必要があるとのことだ。

サイバーセキュリティ演習

　人の部分でCSIRTを支援できるのが、サイバーセキュリティ演習である。企業におけるCSIRTの役割と演習のポイントを以下の図に示す。

企業におけるCSIRTの役割と演習のポイント

　また、アライドテレシスは米国Norwich大学と連携してサイバーセキュリティ演習プログラムを提供している。研修やトレーニングはNUARI（Norwich University Applied Research Institutes）が開発したWebカンファレンスツール「DECIDE Platform」を使用。これは、以下のような特徴がある。

・実際に起きたインシデントをベースにしたシナリオ（受講者には知らせない）
・自社の組織体系や所属などが再現される
・自社のポリシー、行動指針によってシナリオの進行が変化
・複数拠点で同時演習可能
・マルチロールで同時シミュレーション可能

　「リアリティのある演習をやればやるほど、実際に事が起きた時に動ける」と中島氏は言う。また、重要なポイントとして以下の2点を挙げた。

・インシデント対応ではスピードが重要
・被害抑制のためには複数部署での連携が重要

日本のサイバーセキュリティ政策

　このほかセミナーでは、政策に関するセッションも設けられていた。

　「産業分野におけるサイバーセキュリティ政策」と題したセッションでは、経済産業省 商務情報政策局 サイバーセキュリティ課 課長の奥家敏和氏が、サイバー攻撃の脅威レベルの向上、サーティフィケーションフレームワークなどについて講演した。

　「IoTセキュリティは世界で考え方が整理できていない」とのことで、その中でサイバー／フィジカルセキュリティフレームワークの策定をしている日本の意見は理解されているという。

経済産業省 商務情報政策局 サイバーセキュリティ課 課長の奥家敏和氏

　また、「我が国のサイバーセキュリティ政策の動向」と題したセッションでは、内閣官房 内閣サイバーセキュリティセンター（NISC）内閣参事官の上田光幸氏が、サイバーセキュリティ政策の推進体制を紹介。「Society 5.0進展の中で、基本的な立場は、自由・公正かつ安全な世界空間を守る、持続的な発展のためのサイバーセキュリティ」だと述べた。

内閣官房 内閣サイバーセキュリティセンター（NISC）内閣参事官の上田光幸氏

　さらに、東京大学 大学院情報理工学系研究科 教授の江崎浩氏も登壇し、「Society5.0時代のOT領域におけるサイバーセキュリティ」というタイトルで講演した。

　セッションでは、「サイバーセキュリティの原則は、自助、共助、公助。共助とは民間レベルで、本来競合する相手と協力する。それができなかった時に公助の出番」だと強調していた。その意味でも、「民間団体であるCCDSの活動は健全かつ重要」とのことだ。

東京大学 大学院情報理工学系研究科 教授の江崎浩氏

　このように、CCDSからのメッセージだけでなく、各ベンダーの取り組みや政策動向まで網羅された当セミナーは、今後のセキュリティインシデント対応を考えるうえで有意義なセミナーだったといえるだろう。