システム技術分科会 2015年度第2回会合 分科会レポート
組織のためのサイバーセキュリティ対策
-セキュリティポリシーとCSIRT
サイエンティフィック・システム研究会(SS研)のシステム技術分科会2015年度第2回会合が2016年1月18日に汐留シティセンター 6階 富士通株式会社 プレゼンテーションルームにおいて開催された。
本会合は“組織のためのサイバーセキュリティ対策 -セキュリティポリシーとCSIRT-”をテーマに、セキュリティ対策を先駆けて実施している各大学・組織による、セキュリティポリシーの策定事例やリスクアセスメント、セキュリティ対策を行うCSIRTの設立・活動等についての充実した講演で構成されている。
はじめに広島大学の西村浩二氏のあいさつに続き、計4件の発表と意見交換会が行われた。
■室蘭工業大学におけるセキュリティポリシー策定とその運用
刀川 眞 (室蘭工業大学)
最初の発表は「室蘭工業大学におけるセキュリティポリシーの策定とその運用」と題する室蘭工業大学の刀川眞氏による講演である。
室蘭工業大学では、2008年に“高等教育機関の情報セキュリティ対策のためのサンプル規程集”をベースに情報セキュリティポリシーを策定した。情報セキュリティポリシー策定にあたって、当時約600ページあったサンプル規程集の簡素化、フラット化を行った。これは策定における目標として“実行できる規程集を作成する”があり、サンプル規程集の全てを施行することは困難であるとの判断のもと、サンプル規程集の一部のみをポリシーとして採用または運用ルールの参考にしている。
セキュリティポリシーの運用として、教職員や学生、留学生向けの基礎講習を行っている。留学生向けには講習に用いるテキストを、英語、中国語に翻訳したものを作成し用いている。また、学外に公開しているサーバに対して擬似アタックをかけ、脆弱性が認められたサーバについてその管理者に対して改善勧告や指導を行う、標的型攻撃訓練として標的型攻撃を模したメールを送信し開封者の行動を把握し注意喚起する、といった取り組みも行っている。
室蘭工業大学はこれらの取り組みにより、ISMS, BCMS国際認証を取得している。
■高等教育機関の情報セキュリティ対策のためのサンプル規程集
(2015年版)改訂のポイント
金谷 吉成 (東北大学、高等教育機関における情報セキュリティポリシー推進部会)
2件目の発表は「高等教育機関の情報セキュリティ対策のためのサンプル規程集(2015年版)改訂のポイント」と題する東北大学の金谷吉成氏による講演である。
最初の講演で室蘭工業大学がポリシー策定のベースとしたサンプル規程集は、セキュリティ関連の学内規程の雛形として作成されており、各大学ごとにカスタマイズして利用されることを想定している。サンプル規程集は、文学部と理学部の2学部の計2000名で構成された仮想A大学を想定して作成された。大学は構成員の多様性等の理由により情報セキュリティを考える上で難しい部分があるため、サンプル規程集は、可能な範囲で政府機関統一基準の考え方に準拠している。
サンプル規程集は最新版として2015年版へ改訂された。改訂内容としては、政府機関統一基準(平成26年度版)への準拠や、大学における情報システムを取り巻く環境への変化を踏まえた内容の見直し等が挙げられる。構成は大きく変化したものの、内容的に追加・変更になった部分についてはそれほど多くはない。
2015年版への改訂時に新たに情報セキュリティインシデント対応チーム(CSIRT)設置規程が追加されている。CSIRTの活動が円滑に行えるような予算措置や適切な権限委譲が行える環境の整備、CSIRTの構成員に関する内容が記載されている。
大学でのクラウドサービスの利用が増えてきているが注意点もある。クラウドに情報を置く際に外部委託にあたるのか第三者提供にあたるのかを、クラウドを利用する前に精査する必要がある。また、情報メディアセンター以外の他の部局がクラウドサービスの調達を行う場合も考えられるため、留意事項について学内に広く周知する必要がある。
サンプル規程集は改訂に伴い更に分量が増えているため、全てをカスタマイズするのではなく各大学ごとに必要な部分を取り入れる形で利用してもらうのが良い、とのことである。
■東工大CERTの立ち上げと現在の取り組み
松浦 知史 (東京工業大学)
3件目の発表は「東工大CERTの立ち上げと現在の取り組み」と題する東京工業大学の松浦知史氏による講演である。
東京工業大学では、情報セキュリティ監査・危機管理専門委員会の内部に東工大CERTが設置されており、統括責任者2名、事務4名、技術職員2名(内専任2名)で構成されている。緊急時の初動対応だけではなく、セキュリティ情報の収集・分析・通知や学内の脆弱性調査等のセキュリティの事前対策が行われている。
CERT設立・活動に際して、学内(ネットワーク)の状況把握や強力な権限の付与、予算の確保等、多くの課題が存在する。
東京工業大学では、NOC(Network Operation Center)への加入、各委員会への参加、CERT規則案の作成、CERT規則の成立という過程を経て、東工大CERTが設立された。
設立の上で重要な点は、“最高情報セキュリティ責任者は(中略)CERTに対して、当該事案に関する初動体制としての緊急措置を講ずる全権を委任することが出来る。”という規則を設けてあることである。これにより、緊急時にネットワークの切断等をCERTの権限で行うことが可能となっている。
予算の確保もCERT設立に伴い大きな課題となる。日頃からセキュリティ情報(最新ニュースなど)の共有を図ったり、Google/SHODAN検索等による公開情報を利用した脆弱性調査を行ったり、次世代型セキュリティ機器の検証等を行うことで、予算をかけずとも一定の成果を上げることが可能である。日頃から成果を積み上げ活動をアピールする事で東工大CERTの重要性が認識され、予算確保に対しても理解が得やすくなる。
組織間の密な関係の構築や権限/予算無しに出せる成果による活動のアピール等を地道に継続していくことが組織内CERTの設立の上で重要である、と東工大CERTの立ち上げと活動の経験をもとに語られた。
■標的型攻撃時代に求められる組織のサイバーセキュリティ対策
奥原 雅之 (富士通株式会社)
4件目の発表は「標的型攻撃時代に求められる組織のサイバーセキュリティ対策」と題する富士通株式会社の奥原雅之氏による講演である。
富士通株式会社では、セキュリティマネジメントフレームワーク(SMF)を作成している。ISMS(情報セキュリティマネジメントシステム)はこのSMFをベースに作成する。また、マネジメントドキュメントの整備は、基準・要領書のひな形を利用して、本部・グループ会社が自主・独立に基準・要領を作成している。
従業員教育は、全従業員を対象にe-Learningで実施している。情報管理ハンドブック、ポケットブックの配布やPCのセキュリティチェックの自動化、電子メールの誤送信対策を行うツールを導入する等で効率的なセキュリティ対策を実施している。
セキュリティ事件・事故については,発生件数をカウントするほかに,それぞれの危険度をレベル評価している。このとき、「結果の重大性」よりも「発生に至ったプロセスの問題点」を評価している。事件・事故発生時に、セキュリティ対策で被害が低減された場合は「投資の成功事例」としてプラスに評価している。
富士通株式会社ではCSIRTはNOC(Network Operation Center)、SOC(Security Operation Center)とは別に設置している。セキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織である。
昨今のサイバー攻撃は標的型攻撃が増加しており、これまでの水際防御(ペリメーター防御)ではなく多層防御(総力戦)が必要とされている。「脅威は内部にいる」ことを前提とした対策として、内部で複数の防御を行う、追跡性を確保するといった手法がある。インシデント発生時に「何が起きたか」「何が起きているか」を正しく把握することが重要となる。
セキュリティ対策は、今できることをやる。「ゼロリスク」は実現不可能であり、標的型攻撃をすべて撃退する方法もないため、直面するリスクを正しく理解し、やらなければならないことを地道に確実に実施することが必要である、とのことである。
■緊急企画 意見交換会 セキュリティガバナンス大丈夫ですか?
以上4件の講演を受けて、最後に緊急企画として「セキュリティガバナンス大丈夫ですか?」と題して意見交換会が行われた。
富士通株式会社の林直樹氏を司会として、広島大学の西村浩二氏、高エネルギー加速器研究機構の鈴木聡氏、福岡大学の藤村丞氏、国立情報学研究所の高倉弘喜氏らによるセキュリティガバナンスの現状報告を中心に意見交換が行われた。
組織(中小規模大学)でのセキュリティマネジメントの現状や、各大学のセキュリティでの悩み等が寄せられ、今後どうしていけば良いのかといった意見が活発に交換されたことを記す。
以上
SS研facebookページへ