海の向こうの“セキュリティ”

第34回:「FIRST Conference」京都で開催、世界から約400人参加


 今回は、厳密に言うと「海の向こう」ではないのですが、6月28日から7月3日まで京都で開催された「FIRST Conference」を紹介します。

21nd Annual FIRST Conference
http://conference.first.org/

「FIRST Conference」会議受付

 本連載の前回の記事でも紹介したように、「FIRST Conference」は、CSIRTの国際フォーラムであるFIRST(Forum of Incident Response and Security Teams)の年次会合で毎年6月に開催されており、今回は日本で初めての開催となります。

 欧米からのアクセスが良いとは言えない日本、しかも梅雨の真っただ中の日本に来てくださる方がいらっしゃるのだろうかと実はかなり心配していたのですが、参加者数で言えば例年並みの参加者(約400名)だったようです。

 これまでは世界中のどの場所で開催しても米国からの参加者が一番多かったのですが、21回目となる今回、初めて米国以外からの参加者が一番多かったそうです。もうおわかりかと思いますが、日本からの参加者が最も多く、93名だったそうです(米国からは66名)。

 一方、参加国の数は過去最高の52カ国であり、FIRSTの国際的な広まりを示すものとして、FIRST運営委員長のDerrick Scholl氏が開会のあいさつ時に強調していたのが印象的でした。

Executive games could help stem cybercrime, FIRST experts told
http://www.first.org/newsroom/releases/20090630.html

「FIRST Conference」のスポンサー

 今回のメインプログラムは、6月29日から7月3日までの5日間、毎朝最初に行われる基調講演の後、3つのトラック(Technical、Management、Incident Response)が並行して行われるという編成です。例年に比べるとトラック数そのものは若干少なめですが、各プログラムは30分のものから1時間を超えるものなど、柔軟に組み立てられています。

 さて今回は、これらのプログラムの中から、6月29日の朝一番に行われた山口英氏の基調講演を紹介します。

 山口氏はご存じの通り、奈良先端科学技術大学院大学教授であるとともに、内閣官房情報セキュリティセンターの情報セキュリティ補佐官でもあります。今回の基調講演では、日本政府のセキュリティ対策や日本のセキュリティ事情(情報漏えい事故など)などが紹介されました。

 その中で印象的だったのは2点。

 まず1点目は、セキュリティ対策は既存のPDCA(Plan、Do、Check、Act)サイクルではなく、「Assessment、Strategy、Process、Training」のサイクルであるべきというものです。これは地震など自然災害でも同じであるとしています。


Process Model

 2点目は、企業のセキュリティ対策への一提案です。

 世界的な経済危機により、GDPが12%も減少した日本において、企業がセキュリティにかけることができる予算と人的リソースはかなり厳しい状況です。そのような中で、企業側のコストを削減しつつ、セキュリティレベルを上げることが期待できる技術的手法として「仮想化」が鍵になるとしています。

 キーワードは「BYO(Bring Your Own)」。

 これは元々オーストラリアのレストランで「客が自分の好きな酒を持ち込んでOK」とするシステムを指す言葉であり、アルコール類を扱うライセンスの取得が面倒なオーストラリアにおいてはとても合理的な考え方です。

 このシステムを企業の情報システムに適用し、社員が私物のノートパソコンを職場に持ち込み、それをシンクライアントとして使って、VPNで守られたネットワーク経由で社内のPCクラスタ上の仮想システムをリモートデスクトップで利用するというわけです。

 この考えが必ずしも「万全」というわけではありませんが、仮想化の技術が年々進歩していることもあり、「1つの解」として十分に検討するに値するものであり、会場の聴衆も非常に興味深く聴いていたようです。

 講演の中では、これに関連して「StarBED Project」が紹介されていました。

StarBED Project
http://www.starbed.org/

受付近くに設置されたデコレーション。参加者が短冊に願い事を書いて吊るしている

 講演の締めは、セキュリティ対策の一実装としての「CSIRT」に対する期待を込めたメッセージでした。

 これまでのCSIRTは、インシデント対応という「passive」なものを活動の中心としていましたが、今後はCSIRT間の連携に基づいた分析や防御策の検討といった「proactive」な活動が求められています。そのような連携を実現するためのコミュニティであるFIRST、そして「FIRST Conference」に期待するとの力強いメッセージです。

 「FIRST Conference」は研究や活動の報告などから構成される「国際会議」ではありますが、同時に、俗っぽい言い方をすれば「オフ会」に近いものがあります。会場にスーツ姿の参加者がほとんどいないことも「コミュニティのオフ会」の性質を端的に示しています。

 インシデント対応の実際の現場において、関係するCSIRT(特に海外)との連携は多くの場合、電子メールで行われます。しかし、「顔が見えない」CSIRTとの連携は、特に機密情報の取り扱いにおいて、ためらわれるものがあるのは当然です。そのような「障壁」を取り除くために生まれたのがFIRSTですが、同じFIRSTのメンバー同士でも、「顔が見えない」状態は何らかの障壁になることは確かです。そこで、「顔が見える」ようにするための場として用意されたのが、年に1回の「FIRST Conference」と、年に数回開催される「FIRST Technical Colloquia」なのです。このような場を通じて、数カ月おきに顔を合わせることで親睦を深め、互いの信頼関係を向上することができるのはもちろん、より現実的な「効能」もあります。

 顔を合わせて直接話をすることで相手のCSIRTがどのような背景を持った、どのようなインシデントに対応するチームかを具体的に知ることができます。これにより、インシデント対応においてどのような情報をやり取りするのが適切かということがわかります。また少々泥臭い例ですが、日常的なインシデント、例えばプローブやスキャンといった不審なアクセスへの対応として、互いにどういった情報(IPアドレス、ポート番号など)をどういう形態でやりとりすると「都合がよいか」といったことを顔を合わせて具体的に相談することもできます。

 このようなCSIRT同士の連携を促進する場を提供するためのコミュニティがFIRSTであり、さらに実際に顔を合わせて連携についての具体的な相談や議論ができる場を提供するのが「FIRST Conference」 (と「FIRST Technical Colloquia」)なのです。

 山口氏の講演の締めのメッセージは、まさにこの点を強調したものと言えるでしょう。

 また、今回の「FIRST Conference」は、本連載の前回の記事でも述べたようにインターポールなどの法執行機関との連携が前面に出ていますが、他にもCSIRT以外の組織やコミュニティとの連携もかなり印象的な形でアピールされていました。例えば、APWG(Anti-Phishing Working Group)やICANN(Internet Corporation for Assigned Names and Numbers)との連携はかなり具体的な形で提示されています。

 今回の「FIRST Conference」は、「他との連携」が1つのテーマだったようです。

INTERPOL and FIRST join Hands to Fight Cyber Crime
http://www.first.org/newsroom/releases/20090630a.html

Global IT Failure Could Cost More than Kobe Quake, FIRST Experts Warned
http://www.first.org/newsroom/releases/20090703.html

 さて、いつもながら山口氏の身振り手振りを交えた講演は、観ていても聴いていても楽しいのですが、実は一番印象に残っているのは、講演の最初に紹介された「山口英的京都観光ガイド」。食べることが大好き、しかも海外からのお客様をもてなした経験の豊富な山口氏らしい興味深い内容ですが、これは講演を実際に聴いた人だけの「お楽しみ」として、ここではあえて紹介しません(笑)。

 なお、来年の「FIRST Conference」は 2010年6月13日から18日まで米国フロリダのマイアミで開催されます。すでに参加登録受け付けも開始しています。

22nd Annual FIRST Conference
http://conference.first.org/2010/


2009/7/9 11:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。