セキュリティ情報連携のその先へ――セキュリティ自動化に向けた検討【IETFトピックス2016-17】

インターネット技術の普及に向け、IPv6、DNS、HTTPなど基本となるプロトコルを定めてきたIETF（The Internet Engineering Task Force）。今年11月には、100回目の会合（IETF 100）がシンガポールにて開催される予定である。IETFがこれまで手がけてきたインターネット技術も、技術の進歩と普及により、現在も多くの分野において議論が継続され、まだまだ目が離せない状況が続いている。本連載では、インターネットの普及と発展を目的に日ごろIETFを中心に活動を行っているISOC-JP（Internet Society Japan chapter）メンバー有志が、ここ最近のIETFでの活動状況について紹介していく。

「IETFトピックス2016-17」連載記事一覧

　増大するサイバー空間での脅威に対応するには、組織間の情報連携が必要不可欠であり、さらにはそれに基づく対策の効率化・自動化が求められている。そのためには各種データ構造やプロトコルなど、インターフェースを標準化する必要があるが、それを先導して実施している機関の1つにIETFが存在する。今回は前回に引き続き、IETFにおける本分野における検討の現状を紹介したい。

複数のWGがセキュリティ対策の自動化を検討

　前回は、インシデントの情報連携を扱うMILEについて紹介したが、IETFではそのほかにも情報連携、そしてその先のセキュリティ対策の自動化に向けた検討が活発に行われている。今回はSACM、DOTS、I2NSFを取り上げたい。前回取り上げたMILEを含めたこの4つのワーキンググループ（WG）の概要をまとめると以下の図のようになる。

IETFにおけるセキュリティ情報交換技術の関係WG群

　上述の通り、MILEではセキュリティ関連情報の交換について、特にインシデント情報交換という観点から技術を検討してきた。情報交換の先には、対策の自動化がある。その中で、特にエンドポイントのセキュリティ評価にスコープを絞って検討しているWGがSACMである。以下、本WGについて説明したい。

エンドポイントのセキュリティ評価を検討するSACM

　SACM WGでは、エンドポイントのセキュリティの状態評価を実施する技術を主に検討している。WGの名前がセキュリティ自動化となっていることから、かなり幅広にスコープを扱う意図がWG発足当初はあったが、ある程度検討範囲を絞った検討をしている。

ユースケースを定めて検討の焦点を定める

　最近のIETFでは、何らかのかたちでユースケースを文書化し、それに従い検討を深めていくというアプローチが好まれる傾向にある。SACMにおいても企業を想定した脆弱性評価シナリオが文書化されており、本文書では脆弱性情報を取得し、それが各エンドポイントに与える影響を評価するシナリオが記述されている。本文書は、もともとはドラフトのかたちで更新されていたが、現在ではWikiにて管理・更新されている

　実は、これ以前にもRFC7632にてユースケースを定義しているが、その中でも特に現在注力したい部分を抽出・深堀して文書化したものが、本Wikiである。本Wikiによりユースケースをより絞り込み、かつ具体化することにより検討の加速を狙っている。

脆弱性評価シナリオをベースに技術検討を深化

　上述の脆弱性評価シナリオでは、ソフトウェアを特定する識別子、並びにコンピューター内にインストールされているソフトウェアのリストの必要性が記述されている。そのソフトウェアを特定する識別子の1つとして、SWID（Software Identifier）が存在する。SWID自体は、ISO/IEC 19770-2にて定義されている規格であるが、SACMでは特にCBOR（Concise Binary Object Representation）にて簡潔に表現する技術が検討されている。また、インストールされているソフトウェアの一覧情報については、SWIDタグを利用して記述し、それをサーバーに送付可能にする技術が検討されている。

　余談であるが、ソフトウェアを特定する識別子には、SWIDの他にもCPE（Common Platform Enumeration）が存在している。現在の管理・運営主体であるNISTはその負荷を軽減するため、SWIDからCPEを自動的に生成できるよう、両者のマッピングに関してNISTIR8060を発行している。これまで、人手によりCPE識別子のリストを管理していたNISTにとって、SWIDの存在はありがたく、SWIDが存在していれば、そこから自動的にCPE識別子を作成できるようになり、CPE識別子のリスト管理の負荷を大幅に軽減することができるのである。

　脆弱性評価シナリオのドラフトにて明記されている重要技術には、SWIDのほかに、OVAL（Open Vulnerability and Assessment Language）が存在する。OVALは、脆弱性の有無をチェックするスクリプトと、そのスクリプトを走らせるインタプリタを用意することにより、脆弱性の有無を自動的にチェックする技術であり、SACMにて関連する複数のドラフトが議論されている。

　以上、簡単にSACM WGにおける検討の現状を紹介したが、SACM WGにて検討される技術は上記に限らない。例えば、MILEで現在検討されているROLIE技術の拡張がSACMにて検討されている。ROLIEはSACMで活用されることも当初から想定されていたため、これは自然な流れである。そのほかにも、多数のドラフトが提出されており、検討が継続されている。とはいえ直近では、上述の脆弱性評価シナリオに従ったコンテンツの検討に注力していくこととされており、ハッカソンなども活用した検討の加速が検討されているのが現状である。

セキュリティ対策のためのシグナリングを扱うDOTSとI2NSF

　MILEやSACMは情報連携やセキュリティ対策の自動化を目指しているものの、従来のIETFの得意分野であるシグナリングをベースにした検討はあまり得意ではない。同じ対策の自動化を目指していてもシグナリング技術をベースに検討が進んでいるのがDOTSとI2NSFである。紙面の都合上、以下に簡単に紹介する。

　DOTSは、DDoSに対応するためのシグナリング技術を検討するWGである。DOTS技術により、ドメイン間での連携をしたDDoS対策を効率的に実現することを目指している。すでにユースケースや要求条件の議論は煮詰まってきており、現在は、具体的にどのような情報をどのようなかたちで表現すべきか、また、どのようなシグナリングを行うべきかについての議論が行われている。

　I2NSFでは、ネットワーク上でのセキュリティ機能（NSF）を制御・監視するための情報・データモデルと、ソフトウェアインターフェースを定義する。データセンター内のファイアウォール等がNSFの具体例である。データセンターでは、各クライアントのコンピューターグループごとに、動的に仮想ファイアウォールを配置・設定しているが、I2NSF技術により、その際の作業を簡略化し、また、ミスを低減したいと考えている。

　本記事では、セキュリティ情報連携・対策自動化関連の活動として、SACM、DOTS、I2NSFを取り上げているが、IETF内にはSECEVENTなど、その他の関連活動も存在する。どこからどこまでが自動化に関連する／しないという区分けにはあまり意味はなく、前回・今回と紹介した4つのWGを中心に、各種WGの動向に興味を持っていただけると幸いである。

　なお、余談であるが、I2NSFにはSACM参加者も多く参加している。SACM立ち上げ当初に実現したかった技術が、検討の過程でSACMのスコープにそぐわなくなってきており、I2NSFのほうがもともと検討したかった技術に近くなっていると感じている方が少なからず存在するためである。IETFでは各WGの検討のスコープを絞り込むことにより、限られた時間内で成果を創出可能にしているが、当初の想定通りにスコープが設定されないケースもあるため、このような状況が生じるのも珍しくはない。

IETF以外の組織でのセキュリティ情報の技術標準の検討状況

　今回はIETFに焦点を当てた記事であるため、そこでの活動を紹介したが、セキュリティ情報連携とそれに基づく対策の自動化の重要性は広く認識されており、他の標準化団体（SDO）でも検討がなされている。

　OASISのCTI（Cyber Threat Inteligence）では脅威情報全般を共有する技術の検討が行われている。具体的には、コンピューターやネットワークの挙動や状態について、観測可能な事象や属性の記述言語であるCybOX（Cyber Observable eXpression）、セキュリティ脅威に関連する情報を包括的に記述するSTIX（Structured Threat Information eXpression）、そして情報発信時のトランスポートを定義するTAXII（Trusted Automated eXchange of Indicator Information）が検討されている。ITU-Tにおいてはサイバーセキュリティ情報の交換技術概観を示したCYBEXがX.1500として勧告化されている。X.1500には世界中の関連技術リストが付記されており、それが定期的に更新されている点に特徴がある。また、国際標準以外にも技術規格は存在する。実際、米国では各種の規格が構築されており、これらが国際標準に持ち込まれているケースも多い。

　このようにさまざまな場所で標準化活動が活発化するのは潮流を作るという意味で重要なことである。各SDOにはそれぞれ特徴があるため、今後もそれらを最大限生かしていくことが効果的な標準化活動につながっていくだろう。そして、各SDOが連携してサイバーセキュリティの向上に取り組んでいくことが重要である。

セキュリティ情報交換から対策の自動化へ

　本記事ではセキュリティ情報連携と、それに基づく対策の自動化について、IETFでの検討状況を紹介した。まだまだ情報を共有するための技術自体も発展が必要であるが、今後は、SACMやDOTS、I2NSFなどで検討されているような、対策を実際に自動化するための技術開発・標準化が進んでいくことだろう。ここでは、規格作りで終わるのではなく、実際に情報連携をして対策につなげていくことが重要である。時間はかかるだろうが、サイバーセキュリティを世界規模で底上げしていく必要がある以上、そのための自動化技術の発展およびそれに必要な標準化活動は、今後も発展していくことが期待されている。