セキュリティーの重要性が認知され取り組みを強化する組織は増えているが、実際にインシデントが起きた際の対処や、攻撃の侵入口となる脆弱性の管理などが十分にできていないケースは少なくない。JPCERTコーディネーションセンター（JPCERT/CC）は、インシデント対応支援や脆弱性情報の発信など通じて、日本のセキュリティーレベルの向上を目指している。佐々木勇人・サイバーセキュリティコーディネーショングループ担当部門長兼政策担当部長に取り組みを聞いた。（岩田晃久）

三つの柱で活動

――どのような活動をされていますか。

　大きく三つの柱で活動しています。一つめはインシデントに関する相談や対応になります。発生したインシデントにどのように対応すればいいか分からない、検体を解析できないといった相談を受けた際に、技術的な分析やアドバイスをしています。インシデントについては、ランサムウェアや個人情報漏えい、Webサイト改ざんなど、種類は制限せず相談を受け付けています。

　次に、脆弱性の調整と注意喚起です。国内の場合、製品に脆弱性が見つかった際に、メーカーと調整し、段取りを決め公表しています。海外メーカーとの調整も行いますが、基本は国内メーカーです。大企業のエンジニアが、JPCERT/CCから注意喚起が出たことで、早急に自社のシステムを改修するといったことも多くあります。

　三つめが国際連携です。アジアやアフリカでこれからCSIRTを立ち上げる国や、あるいは立ち上げまでには至っていない国に対してのキャパシティービルディングを行っています。実際に現地に当センターのアナリストが行き、CSIRTのつくり方をトレーニングしています。また、海外の専門機関やコミュニティーとの連携にも取り組んでいます。

――インシデントに対してはどの範囲まで対応されるのでしょうか。

　当センターには寄せたれる相談の大半は、インシデントが発生したが何をしたらいいか、というものです。そのため、順番に何をしていくのかを伝えるなど、いわゆる初動対応を支援しています。中立的な立場の組織であるため、その後の復旧やフォレンジック調査、機器の入れ替えといったフェーズはITベンダーにバトンタッチします。

 

増加する脆弱性の情報を発信

――脆弱性の傾向に変化はありますか。

　以前は被害予防を目的に脆弱性の注意喚起を出すことが多かったのですが、この3～4年は注意喚起が出ている＝ゼロデイ脆弱性（修正プログラムが提供されていない未公開の脆弱性）として悪用が始まっていたり、注意喚起を発表したその日に攻撃が行われたりするなど、シビアなケースが増えています。

　また、以前の脆弱性はソフトウェアに関するものが中心でしたが、2020年以降はネットワークアプライアンス機器が大半を占めています。ネットワークアプライアンス機器の脆弱性を突いたランサムウェア攻撃や標的型攻撃が活性化したことで、各国のエンジニアやアナリストがネットワークアプライアンス機器を中心にバグを見つける作業を行うようになりました。その結果として発見される脆弱性が増えています。

――JPCERT/CC以外にも、さまざまな機関やITベンダーからVPNをはじめとしたネットワークアプライアンス機器の脆弱性に関する注意喚起が出ていますが、ランサムウェア攻撃の被害は拡大傾向にあります。

　注意喚起がほとんど伝わっていない現状があると考えています。実際に、中小企業や地方の企業では、当センターの注意喚起を見ていないケースが多いと認識しています。

　そうした中で当センターでは、機器にIPアドレスやドメインが割り振られていて連絡先が登録してある場合は、個別にその企業に連絡をして、アップデートを促す取り組みをしています。加えて、運用や保守は外部に委託している企業も少なくないため、運用保守ベンダーに連絡することもあります。

　運用保守を外部委託している場合、誰がパッチを当てるのかといった責任範囲がユーザーとベンダーの間で曖昧なケースが多く、結果として未修正のままの機器が生み出されているという課題があるので、そこに対する啓発などをしています。

ITベンダーとの連携強化

――IT業界の企業とはどういった連携をしていますか。

　近年は国内でしか利用されていない製品の脆弱性が悪用されるケースが増加傾向にあるので、メーカーのPSIRT（Product Security Incident Response Team）と連携して、脆弱性が出た場合に速やかに調整に入れるようにしています。

　あらゆる企業に当センターのことを知ってもらい、注意喚起を必ず見てもらうというのは現実的には難しいと思っています。そのため、ユーザーの一歩手間で商流を担うITベンダーにわれわれの情報を活用してもらえるように認知度を上げていくのが重要だと考えています。

――今後の抱負をお願いします。

　今年度も方針には変更はなく、これまでの活動を継続していきます。加えて、個人的な見解にはなりますが、現状ではさまざまな制度やガイドラインが存在している一方で、被害件数は減っておらず、（制度やガイドラインに）疑問を持つ人が増えてくるフェーズに入ってきているように思っています。そうした中で、いろいろな声を拾い、官民にさまざまなつながりを持ち情報を集めている立場から、現行の制度で拾えていない問題を探すといった部分にも注力していきたいです。

 

---

＜紹介＞
【JPCERTコーディネーションセンター】
ボランティアベースの活動から始まり、1996年10月に「コンピュータ緊急対応センター」として発足。セキュリティーインシデントへの対応や脆弱性関連情報の発信、国内外のインシデント対応組織との連携などに取り組む。