グローバルCSIRTコミュニティの加盟条件にもなったSIM3
SIM3は発祥地である欧州において、すでにトップクラスを目指すCSIRTに欠かせないツールとなっている。
「EUのサイバーセキュリティを統括しているENISA(欧州ネットワーク・情報セキュリティ機関)はSIM3を活用し、EU加盟国のナショナルCSIRTの成熟度を上げていくプログラムに取り組んでいます。また、欧州のCSIRTコミュニティでは、Certified Teamと呼ばれるトップクラスのCSIRTを認定するのにSIM3を用いています」
ナショナルCSIRTとは、国や地域を代表するCSIRTのこと。日本では、JPCERT/CC(JPCERTコーディネーションセンター)がナショナルCSIRTの役割を担っている。
グローバルなCSIRTコミュニティであるFIRST(Forum of Incident Response and Security Teams)でも2022年1月から、加盟条件としてSIM3によるセルフチェック結果の提出を求めるようになった。
さらに日本、そしてアジアでもSIM3への注目は高まっている。
仕掛け人の1人は小村だ。日本シーサート協議会(NCA)のSIM3実行委員長を務めるだけではない。世界に6人しかいないSIM3の“権威”の1人として、日本・アジアでの普及推進に取り組んでいる。
SIM3で浮き彫りになった日本のCSIRTの特徴
SIM3は、自身によるセルフチェックを行うだけでも有効だ。だが、CSIRTの現状や改善点を、より正確に把握するには専門家による診断が必要になる。
ドンが開発したSIM3は現在、欧州に本拠を置くOCF(Open CSIRT Foundation)により公開されており、OCFが認めたCertified SIM3 Auditor(監査人)による評価を受けることができる。
このAuditorを育成・認定する役割を担っているのが、世界にまだ6人しかいないAuditor Trainingの資格保持者である。小村は2022年7月に取得した。日本人ではもう1人、NTTデータ先端技術の杉浦芳樹が資格を持つ。
「ですから今後はドンを日本やアジアに呼ばなくても、Auditorのトレーニングが行えるようになりました。杉浦さんと私が中心になって、日本やアジアの活動をリードしていこうと考えています」
例えば取り組んでいることの1つが、セルフチェック用のトレーニングメニュー開発だ。前述の通り、SIM3によるセルフチェックは、CSIRTのグローバルコミュニティであるFIRSTの加盟条件になった。
「まずはFIRSTに加盟したい日本企業の方向けに、『こういったことに注意して、こういう風にセルフチェックを行うといいよ』と教えるトレーニングメニューを開発しようと思っています」と小村は語る。
さらに、昨年初めて日本で開催した中級者向けトレーニングメニューの一層の充実、来年日本で開催するAuditorを目指す人向けトレーニングの調整などにも取り組み始めている。
小村によれば、SIM3で評価すると、日本と欧州のCSIRTの違いが浮き彫りになるという。日本のCSIRTは、「ツール」については高評価だが、「人材」が弱いケースが多い。一方、欧州では「組織」が一番重視され、「ツール」に要求される成熟レベルは低い。
「セキュリティ人材の育成計画をきちんと立て、しっかり費用を投じている企業が少ないのが日本のCSIRTの特徴です。そこで人材、組織に特に注力したいと考えています」
また、小村は、外部のセキュリティ団体やホワイトハッカーからの情報を受け取る「受付窓口」としての役割の重要さも強調する。
SIM3が広まり、「なんちゃってCSIRT」になっていないかをチェックし、セキュリティに関する受付窓口として社内外から信頼されるCSIRTが増えれば、高信頼のデジタル社会にどんどん近づいて行けるという思いが小村にはある。
CSIRT改善に“日本発”のアイデアを
SIM3の伝道師としてCSIRTの改善に貢献していくとともに、日本発、アジア発でSIM3、CSIRTをさらに良くしていくことも小村の願いだ。
すでに様々な議論と提案を行っている。例えば、FIRSTの2021年の年次カンファレンス「2021 FIRST Conference」では、「CSIRTにもBusiness Continuity(事業継続)の観点が必要だ」と提案したという。
原点は、2011年に起きた東日本大震災での経験だ。NTT-CERTは当時、電源消失によりコンピューター上で管理していた情報が閲覧できなくなる可能性も見据えながら、CSIRT業務を遂行した。
「自然災害の発生直後は、寄付金募集を騙った不正行為が活発化します。これらの行為の監視や警告のため、CSIRT活動を継続することが重要でしたが、CSIRTの環境は無停電区域に入っていませんでした。そうした震災時に得た知見なども活かし、いろいろな意見交換を重ねてきています」
今回のパンデミックに関連した情報発信や議論も行っている。
「私自身、感染予防のため、現地対応をお願いできなくなったり、困ったことがいろいろありました。しかし、自分1人で『困った、困った』と言っていても仕方ありません」
小村らNCAのメンバーは、日本のCSIRTの実態を調査。コロナ禍でのCSIRT活動の困りごとや実際に行っている対策をまとめ、日本にとどまらず、世界へ向けて発表した。
「『これが日本のCSIRTのコロナ対応の事例です。世界中のあなたたちは、どんな点に注意しましたか』と投げかけ、議論を深めていくためです。世界の価値観や置かれた状況は多様です。お互いに意見交換することで、今まで気付かなかった新しい視点が得られるのです」
聞けば、カンファレンスなどでスイーツを配る理由の1つも、自分が知らない新しいスイーツ情報を仕入れるためだという。「自分で発信すればするほど、情報は集まってくるのです」と小村は笑みを浮かべる。
ドンが前回来日したとき、今度はスーパー銭湯へ一緒に行った。世界と交流しながら、小村は日本・アジアのCSIRTの発展を目指す。
