次世代セキュリティ情報配信のあり方を探る−JPCERT/CC のWebサイトについて【前編】

　JPCERT/CC は、インターネットを介して発生する、侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討と助言などを、技術的な立場から行

特集特集

2009年6月25日（木） 17時15分

　JPCERT/CC は、インターネットを介して発生する、侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討と助言などを、技術的な立場から行う、民間の非営利団体である。主な活動としては「インシデント対応」「脆弱性情報ハンドリング」「インターネット定点観測システムの運用」「早期警戒」の4 つと、2006年より経済産業省・総務省との連携プロジェクトであるサイバークリーンセンター事業(CCCプロジェクト)の「ボットプログラム解析グループ」としても活動を行い、Webサイトでもこれらのセキュリティ情報を提供している。

JPCERT コーディネーションセンター
http://www.jpcert.or.jp/
Cyber Clean Center サイバークリーンセンター(CCC)
https://www.ccc.go.jp/

●主なコンテンツと利用者

　JPCERT/CCのWebサイトは、システム管理者、セキュリティ担当者や、脆弱性担当者を中心に、セキュリティ情報を必要としている人に向けて、必要な情報を早く、正確に提供することを目的にしている。

　メインとなるコンテンツは、深刻で影響範囲の広い情報セキュリティ上の脅威など最新のセキュリティ情報を配信する「注意喚起」と、ソフトウェアなどの脆弱性関連情報とWeekly ReportというJPCERT/CCが得たセキュリティ関連情報の中でJPCERT/CCが重要と判断したものを抜粋しウィークリーでまとめたものがある。脆弱性情報については、情報の受付窓口であるIPAと協力し、JPCERT/CCが関係各所とのコーディネーションを担当し調整された情報を、別サイトであるJVNのWebサイトにも掲載している。JVNは「情報セキュリティ早期警戒パートナーシップ」に基づき、IPAとJPCERT/CCが共同で運営し、カテゴライズされた詳細な脆弱性対策情報を、主に製品開発者やユーザーに向けて提供している。

注意喚起
http://www.jpcert.or.jp/at/
脆弱性対策情報
http://www.jpcert.or.jp/vh/top.html
Weekly Report
http://www.jpcert.or.jp/wr/
Japan Vulnerability Notes(JVN)
http://jvn.jp/

　この他にも研究・調査報告書、一般的な技術情報やインシデントに対応する際の注意事項などを紹介する技術メモ、C/C++のセキュアコーディング資料、セキュリティ対策講座やセミナー情報などセキュリティ対策を啓発していくコンテンツもある。

研究・調査レポート
http://www.jpcert.or.jp/research/
技術メモ
http://www.jpcert.or.jp/memo/
セキュアコーディング
http://www.jpcert.or.jp/securecoding.html
ライブラリ（セキュリティ対策講座、10周年セキュリティ年表）
http://www.jpcert.or.jp/magazine/
イベント情報
http://www.jpcert.or.jp/event/

　また、実際にインシデントが発生したときの発生元への調整依頼のためのインシデント報告の届出窓口も用意されている。

インシデント報告の届出
http://www.jpcert.or.jp/form/

●サイトの規模と運営

　サイト上のコンテンツは約2,000ページ以上のボリュームがあるが、サイト運営にかかわる作業は、ほぼ全て内製をしているという。JPCERT/CCの技術者がサーバのメンテナンスからファイアーウォールの監視もし、コンテンツの更新作業も内部で行っている。内部で行うことでより高い安全性を保持できるとともに、早く正確な情報を発信することにもつながるという。

　JPCERT/CCにWebサイト運営専門のチームというのは無いそうだが、サイト全体については広報とシステム管理部が担当し、注意喚起、早期警戒、脆弱性情報、Weekly Reportなどのコンテンツは担当グループごとに企画からレポートの制作、掲載までを担当している。Webサイトからの問い合わせが入った場合も内容に合わせて、各グループが対応している。

　JPCERT/CCが発信している、各種セキュリティ情報は間違いがあってはならない情報である。発信する情報の正確性を期すために、内容は必ず2重のチェックを実施し、コンテンツの制作やアップロードといった作業はすべて分業し、1人の人間が勝手に情報をアップロード出来ないようにしている。内部的なミスは運用上で抑止し、職責の分離をしたサイト運営を徹底している。当然、これらのルールがまとめられたWebサイト運営のマニュアルも存在しているそうである。

　一般的にモノやサービスを販売しているWebサイトでは、自社のサイトにどれだけ人が集まり、どれだけ収益に結びついているのかを分析するために、さまざまな手法でアクセスログを解析し、さらに収益が伸びるようにWebサイトのコンテンツの追加や変更が当たり前のように行われているが、JPCERT/CCのWebサイトでは必要とされる情報を早く、正確に伝えることを使命とし、ページビューを上げる為に、コンテンツを変えていくような事は行わないが、セキュリティ対策に役立ててもらえるコンテンツ配信の一つの目標として統計はとっているそうである。それによると、Webサイト全体のページビューは月間500,000〜600,000PVあり、発信した情報がニュースなどのメディアに掲載されるとさらに増えるという。メーリングリストも約24,000名の登録者がいるそうだ。

●見せ方はシンプルに

　早期警戒情報、脆弱性対策情報など技術的な情報は、「見やすい、読みやすい、分かり易い」を前提にして、非常にシンプルに発信されている。これらの技術的な情報は閲覧者の「慣れ」もあるのでリニューアルの際にも、フォーマットを変えることは行わなかった。

　セキュリティ対策講座など啓発的なコンテンツは図表を入れたり、ビジュアルも用いて見やすいようにされているが、必要とされる情報に過度な飾り付けをせずに、どこが重要なのかすぐに解るデザインを採用している。

　サイト閲覧者の使用ブラウザは、標準的なブラウザ機能を想定してあり、JavaScriptが無効にされた状態や、プラグインが無い場合でも、問題なく閲覧できるようにデザインされ、コンテンツの殆どは静的HTMLで制作されている。

●信頼できる参照元として

　一般的に企業がコンシューマ向けに発信する情報では、技術的な内容をユーザーに伝わり易いように表現を変えたり、場合によっては削ったりすることもあるが、JPCERT/CCでは情報は出来るだけ詳しく提供するようにしているという。

　例えば研究資料などは…

【執筆：SCAN編集部】

【関連リンク】
JPCERT コーディネーションセンター
http://www.jpcert.or.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》