企業や組織内でセキュリティインシデントの対応を行うCSIRT(Computer Security Incident Response Team)の国際連携組織 FIRST(Forum of Incident Response and Security Teams)が、6月28日から7月3日まで、第21回年次会合を京都で開催している。一般社団法人JPCERTコーディネーションセンターの中尾真二氏に、FIRSTの役割、今回の日本での開催の意義などを聞いた。第21回 FIRST Annual Conference 京都 のご案内 http://www.jpcert.or.jp/event/first-conference2009.html ─−FIRSTの役割は何ですか FIRST(Forum of Incident Response and Security)は、一言でいえば、世界中のCSIRT組織の集まりです。 CSIRT は、企業や団体など一定の組織において、発生したセキュリティ上の問題や事象を検知したり、報告を受けたりして、その問題が組織内のインシデントであるかどうかを判断でき、解決に向けた対応および調整ができる機能、またはチームです。JPCERTコーディネーションセンターのように、特定の組織ではなく国内全域をサービス対象として、国内外の関係機関との調整を行うCSIRT もありますし、インターネットを通じて事業を実施している事業者が顧客向けにサービスを提供する場合もあり、各チームの目的やサービス内容は、様々です。 インシデントを火事にたとえると「消防署」のような役割として位置づけられると思います。 もともと、CSIRTと呼ばれるセキュリティインシデントへの対策・対応チームは、インターネットでいえばASのようにそれぞれが自律的に活動しています。企業や組織のCSIRT(あるいはネットワーク管理者やセキュリティの専門家)は、必然性からボランティアベースだったり、いわば自然発生的に組織され活動しているのことが多いといえます。 FIRST の役割のひとつは、このASのように活動している各国 CSIRT の「ハブ」のような機能を担うことにあります。−具体的にどのような国際連携を行うのですか 個別のCSIRT組織や専門家どうしのコミュニティやネットワークはありますが、国際間となるとそのネットワークは完全とはいえない部分があります。インターネットやコンピュータへの攻撃には国境はありませんが、対策チームや専門家どうしのネットワークも国際連携が重要な場面が少なくありません。 そのため、各国のCSIRTの国をまたいだ活動を支援する、情報共有を促進させる、連絡やアナウンスを中継する、などが主な活動となります。 たとえば、フィッシングサイトを発見したが、サーバが他国にあり、その国やその国のCSIRT組織やプロバイダへの連絡手段を持っていないとき、FIRSTに問い合わせると、メンバーが連絡を中継したり、連絡先を調べてくれたりしてくれます。−「第21回 FIRST Annual Conference 京都」の主要テーマは何ですか 今回のテーマは「余波:インシデント復旧の技術と教訓」となっており、インシデントが発生してしまった後の復旧や事業継続などのための議論や研究の情報交換が行われます。このテーマでJR西日本の副社長である佐々木隆之氏の基調講演も予定されています。この基調講演では、1995年の阪神・淡路大震災での重要インフラのひとつである鉄道の被害、復旧、その後の組織や運営に与えた影響などが語られる予定です。 毎回、テーマは設定されますが、FIRSTの本来の活動である情報共有やコミュニティの支援という面では、SIGと呼ばれるFIRSTの中の作業部会が研究を続けている特定分野(例:マルウェアの研究、国際連携での法律的な運用の違いによる協力体制の議論など)についての会議も行われます。継続的な活動の発表や情報交換も基本テーマのひとつといっていいでしょう。−日本で開催される意義を教えて下さい これまでFIRSTの年次会合は欧米での開催でしたが、日本での開催は初めてとなります。 アジアの新興国では、通信インフラやコンピュータ環境が急速に拡大している国もありますが、セキュリティ意識や対策がこれからというところが少なくありません。また、そのような国は各国のノウハウや情報を必要としています。じつは、携帯電話や無線通信技術の発達により、通信インフラの整備は、過去の先進国よりも展開が早いという面があります。 日本での開催が、アジア地域のCSIRT組織の活動拡大や各国とのつながりを強化するという期待がかかっています。−何名くらいの規模になるのですか FIRSTメンバーが主に参加して、およそ350名くらいの参加者がいらっしゃる予定です。 FIRSTのメンバーは、企業や研究機関のCSIRTをはじめ、海外の政府機関のセキュリティ対策チーム、インターポールや軍の関係者もいます。日本からも、大学の研究者、通信事業者、電力会社など重要インフラ事業のセキュリティの専門家や政府機関のメンバーも参加します。−第21回 FIRST Annual Conference 京都に対して、どんな方に関心を持って欲しいですか? インターネットに限らず「組織においてセキュリティ対策にかかわっている人やグループ」ということになるでしょうか。 一般企業のネットワーク管理者、大学の研究者、セキュリティ企業やセキュリティ製品開発ベンダーのエンジニア、マネージャ、それにCIO、CSOといった人も、最先端かつ高度な情報共有ができるという点で、FIRSTのメンバーになる、会議に参加する意味はあると思います。−ありがとうございました 【取材・構成:Scan編集部】第21回 FIRST Annual Conference 京都期間:6月29日〜7月3日会場:ホテルグランビア京都開催概要(日本語) http://www.jpcert.or.jp/event/first-conference2009.html プログラム(英語) http://conference.first.org/program/program.aspx
