こんにちは、ひろかずです。

2015/7/2(木)に開催されたCSIRTフォーラム2015 〜これからCSIRTを構築したい方々へ〜 に行ってきましたので一筆書きます。

会場は大盛況。
定員500名が早々に埋まり、サテライト会場が設けられました。

当日資料の配布なし。録音・録画は禁止とのこと。
遅筆ですが、頑張って書きます。

卓上コンセント大活躍(涙)

開会挨拶

ホスト

寺田 真敏 氏 NCA運営委員長

セッション内容

ご挨拶

今回で3回目。
新たな取り組みとして、CySecと連携している。これにより繋がりが広がるといい。
CSIRT活動は、人と人との協力と信頼関係が肝要。

基調講演 1

ホスト

谷脇 康彦 氏 内閣サイバーセキュリティセンター

セッション内容

政府の対策方針
  • NISCの役割
    • 政府として企画と各省調整
    • サイバーセキュリティ攻撃の監視
リスクの認識
  • 海外でのサイバー攻撃事案
    • ソニー・ピクチャーズ・エンターテイメントの事案は、安全保障(米国土への攻撃)としての扱いだった
    • フランスTV5モンドの事案は、日本にも示唆を与えた。
      • フランスにもNISCのような組織があるが、初動で4人=>13人かけつけた。
  • 企業等における情報漏洩インシデントの動向
    • 被害額は増加の傾向
    • 問題は、人材不足と経営者の認識
    • 有価証券報告書では、日経225の6割がサイバーセキュリティリスクについて記載(記載は任意:一部は数年間同じ記載)
    • 米国では、投資家に向けた企業価値の表現として、サイバーセキュリティリスクを詳しく書く傾向がある。
    • この先、日本でも企業価値の表現として、サイバーセキュリティへの取り組みを積極的に行う流れが予想される。
サイバーセキュリティの体制強化のポイント
  • 各機関へのペネトレーションテスト
  • 重要事象についての原因究明(国家信頼を失墜させるような事案)
新たな「サイバーセキュリティ戦略」について

世界に日本の立ち位置を発信

  • 安全保障
    • 対処期間(警察・自衛隊)の能力の質的・量的な向上
    • 安全保障の先端技術に係るサイバーセキュリティの確保
    • 世界各国との協力
  • 国民の安全
    • 公衆無線LAN等の公共インフラのセキュリティ確保
    • 中央省庁に加え、独立行政法人、特殊法人も対象拡大していく
    • 全面的なクラウドサービス移行をしながら対策を強化していく
    • 中央監視機能を設置して、GSOCと連携
    • 企業のサイバーセキュリティへの取り組みについての表現の促進
  • 経済社会の発展
    • 費用から投資へ
    • Ioシステムのセキュリティにかかる総合的なガイドラインの整備
    • セキュリティマインドを持った企業経営を推進(キャリアパスの確立、人材やコミュニケーションの橋渡し)
  • 横断的施策
    • 研究開発
    • 他分野の知識も持つハイブリット人材の育成
    • 初等中等教育からの取組

基調講演 2:東京2020大会に向けたサイバーセキュリティの準備について

ホスト

舘 剛司 氏 東京オリンピック・パラリンピック組織委員会

セッション内容

運営目線で2020年大会に臨むお話でした。
(かなりボリューミーだったので絞ります)

リスクの想定
  • スタッフ規模感(委員会だけで数千人規模、スタッフはその10倍)
  • ネットワークの規模感(公共LAN、IOT、ウェアブルデバイス等多岐にわたる)
  • 情報システムの規模感(様々なシステムが連携する)
過去大会での想定リスク
金銭目的(偽チケット、フィッシング・偽サイト、ランサムウェア
ハクティビストの攻撃
テロ
他
基本方針
  • IOCが推奨する対策と各組織との調整
  • 組織員会としての方針を固める
  • 過去のベストプラクティスの採用
  • 基本を忠実に
  • マネージドサービスの活用

その中でも以下が印象的でした

* サイバーセキュリティは経験則が通用しない。基本に立ち返った検討が必要
* 一部の専門家に任せれば良いものではない。
* 広すぎて複雑過ぎて世の中全体で取り組まないと追いつかない。
* 業界、行政、各国と協力する必要がある。
連携のポイント

連携は図に書いてルールを決めて指示するだけでは進まない。
相手の顔が見えていること、個人間の信頼関係があることがいざというときの機能が、連携するための必要条件である。

守るべき対象

大会運営観点、パートナー周辺環境、社会全般観点でそれぞれある。
オリンピックは、レピュテーションリスクに尽きる

  • まず、大会ブランド・社会的責任に与える影響
  • 次に、ステークホルダへの影響
  • 最後に、ビジネス上の影響

狙われやすいのはシステムより五輪を取り巻く周辺かもしれない。

事業継続の検討フロー
現状分析
何を守るか適用範囲の設定
各業務の脅威シナリオの設定
脅威シナリオの影響を分析
復旧目標時間を設定
現時点の脆弱性を把握
対策を検討

正直、全部やってられないが、よく考えると攻撃する側も同じように考える。
ここに立ち返らないと、後追い対応しかできない。

人材目線

突出した人材はクリエータである。(面白さがあるから)
ビジネス現場では、セキュリティはコストである。
コストを減らして現業集中するだと、守ることができる人材にしかならない。
五輪を乗り切れば良いのではなく、五輪後のレガシーとして残せるよう、クリエイター的な育成が必要なのではないか。

NCA紹介:日本シーサート協議会の活動紹介

ホスト

寺田 真敏 氏 NCA運営委員長

セッション内容

NCAは、シーサート環境交流の場
年に数回ワーキンググループを開催。顔を併せて意見交換
WGは問題提起と解決のための活動として、会員と協力メンバーで取り組む(加盟前の人も参加可能)

アンケートから見えてきた各社CSIRT

専任要員を抱えた部署を中心とした部署横断型の組織
セキュリティはココに任せればいいでは意識が下がるので、巻き込む!
インシデント対応時の対処取りまとめ
技術アドバイザに加えて組織内の横断的な協力体制整備のための調整約の側面が見て取れる

CSIRTに必要なもの

百社百様のCSIRTでも必要な物がある。

  • 組織内CSIRTも、体外的な連絡窓口の設置が必要
  • チームにコンタクトする方法とメーリングリストの配備

メリット

通知側:インシデントの通史先を探さかなくていい、たらい回しの防止と時間短縮
受領側:通知をトリガに是対策や対応をベストエフォートで動かせる
機能成熟度

立ち上げたCSIRTの機能成熟度の計測については参考資料を活用してください。
http://ogc.or.jp/archives/1525

加盟の留意事項

グループ会社の推薦は楽でいいですが、他社との繋がりが要旨なので、それ以外から推薦してもらってください。

加盟社が急激に増えた

「インシデント」の言葉の意味、合ってますか?
CSIRTは100社100様なので、同じ単語であるかを意識すること。
急激にメンバーが増えたから
人と人との信頼と協力関係が要旨なので、積極的にコミュニケーションを取りましょう。

講演 1:CSIRT間の国際連携

ホスト

内田 有香子 氏 JPCERT/CC

セッション内容

JPCERT/CCがやってること

https://www.jpcert.or.jp/about/
国境を超えて発生するインシデントは、海外のCSIRTからの協力が必要なケース
日頃からメール・電話会議でコミュニケーションや現地交流やミーティング、演習の実施
目的別に明確化されたコンタクト先の設定
=>何か合った時の連携に有益

国際連携
  • FIRST(世界規模)
    • 321チーム(米国69,日本24)
    • 紹介制で加盟(年会費制)
    • 政府系、企業系、学術系CSIRTが加盟している
    • メーリス、チャット、会員専用Webでの情報交換
    • F2F会議(年次会合、WG)
    • 情報交換がメリット(ギブアンドテイク、相互協力が基本)
  • APCERT(アジア太平表地域)
    • 20カ国・経済圏から27チーム
    • メーリス、チャット、会員専用Webでの情報交換
    • 年次総会、サイバー演習(ロールプレイで課題を見つける)
    • 活動内容レポート
    • 情報交換の場がメリット(コンタクト窓口情報 等)
  • キャパシティ・ビルディング構築支援
    • CSIRT構築支援トレーニング(アジアアフリカ地域)
    • 世界の情報セキュリティの底上げ
    • セキュアコーディングセミナー

これからCSIRTを構築しようとコミュニティーの力を使うといい。

とりあえず前半はここまで。
後半に続きます。

元記事はこちら

CSIRTフォーラム2015に行ってきました!(前半)