J漾諸事會社

CERT/CCがインシデント管理能力の評価基準書を公開
http://www.cert.org/archive/pdf/07tr008.pdf

この記事は，日立製作所のHIRT（Hitachi Incident Response Team）のスタッフがCSIRTの担当者に向け，脆弱性対策情報から得られた知見，脆弱性対策に関するアドバイス，ツールなどを紹介するものです。

■Incident Management Capability Metrics Version 0.1（2007/06/05）

　2007年6月5日，CERT/CCから「Incident Management Capability Metrics」という文書が発行されました。題名を直訳すると，「インシデント管理能力評価基準」となります。この文書は，組織としてコンピュータ・セキュリティ・インシデント対応ならびに対応改善のためには指標が必要であろうということで，評価項目とその質問事項から構成された評価基準書となっています。CSIRT構築にあたって重要な文書ですので，内容を紹介しておきましょう。

この文書によれば，「インシデント管理能力」は，組織のコンピュータ環境の防護 (protect)，検出 (detect)，対処 (respond)，維持 (sustain) の四つの視点から考えます。まず共通項目として「組織におけるインタフェース」（The organizational interface）の確認があります。インシデント管理活動に伴い，組織内ではCSIRTやネットワーク管理者などの関係者間，サービス提供者や関連業者といった組織外との連絡，情報交換などのインタフェースが必要となるからです。これらのインタフェースは4項目のいずれでも必要となります。

　次に4項目を見ていきましょう。

• 防護
  組織にとっての重要なデータや資産の保護について，(1）リスク・アセスメント，(2)マルウエア対応，(3)コンピュータ・ネットワーク防御のための運用訓練，(4）保護対象のサポートとトレーニング，(5)情報の保証ならびにぜい弱性管理の五つの視点から確認をします。

• 検出
  対策に必要となるインデント，ぜい弱性，その他のセキュリティに関連する情報の収集について，（1）ネットワーク・セキュリティ・モニタリング，（2）インターネット全般の動向把握の二つの視点から確認をします。前者は組織におけるIDSやウイルス対策ソフトなどを対象としたモニタリングであり，後者は政治や経済的な活動を加味した，より幅広い側面でモニタリングを行なうことを意味しています。

• 対処
  インシデント発生後の対処について，（1）インシデント報告，（2）インシデント対応，（3）インシデント分析の三つの視点から確認をします。特に，インシデント対応の部分では，外部の専門組織との信頼関係を築いているかという項目については，日本シーサート協議会の枠組みが活用されることを期待しています。

• 維持
  組織にとってのインシデント管理が継続的かつ適切に機能するために，以下の七つの視点から確認をします。（1）覚え書き（MOU：Memorandum of Understanding）などの整備，（2）プロジェクト管理，（3）コンピュータ・ネットワーク防御のための技術開発/評価/実装，（4）要員，（5）セキュリティ管理，（6）コンピュータ・ネットワーク防御のための情報システム，（7）脅威レベルに応じた対応の整備－－です。ここで，脅威レベルに応じた対応の整備とは，米国政府機関がINFOCONなどの形で脅威状況のレベルとその対処を定義していることを思い浮かべるとよいようです。

　CSIRT構築にあたっては，2007年6月14日，JPCERT/CCから「組織内CSIRT構築支援マテリアル」という文書一式が発行されています。少しずつCSIRTに関する文書も整備されてきていますので，これらの文書を活用しながら，コンピュータ・セキュリティ・インシデント対応の改善を図っていきたいものです。