Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

NTTグループの情報セキュリティ体制を担う「ガーディアン構想」とは

NTT-CERTの星氏が説明

 独立行政法人情報処理推進機構(IPA)と有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は23日、都内で「重要インフラ事業者向け情報セキュリティセミナー~国内外での情報セキュリティ対策への取り組みについて~」を開催した。セミナーでは、インフラ事業者の取り組み事例として「NTT-CERT(NTT Computer Security Incident Response and Readiness Coordination Team)」が紹介された。


「必要な人に、必要な情報を、いち早く」

NTT-CERTの星敬一グループリーダー
 NTT-CERTは、NTT(持ち株会社)の情報流通プラットフォーム研究所に組織されたセキュリティ運用支援チーム。2004年1月に発足し、NTTグループのCSIRT(Computer Security Incident Response Team)として、対外的には相談窓口(PoC:Point of Contact)として活動している。また、2005年1月には、各国IRT(Incident Response Team)の技術情報を共有する組織「FIRST(Forum of Incident Response and Security Team)」にも加盟した。

 「必要な人に、必要な情報を、いち早く」とNTT-CERTの星敬一グループリーダーは、NTT-CERT設立のコンセプトを説明する。星氏によれば、セキュリティ情報には「予防保全」「脆弱性発見」「攻撃発生」「被害発生」と4つのフェイズがあり、特に脆弱性発見から被害発生までのフェイズでは情報の共有や情報流通の迅速化が欠かせない。そのために巨大なNTTグループ各社との連携体制の確立が急務だった。

 そこで、NTT-CERT設立に際してグループ各社にPoCとしてCSIRTを設置し、各社CSIRTを統括する代表PoCとしてNTT-CERTがコーディネーションを担うようにした。また、他社や他国のCSIRTとの連携・強調もNTT-CERTが担当する。

 平常時は事前対策を支援するためのセキュリティ情報などを提供しているという。また、脆弱性情報が公開されるなど「警戒モード」になるとアドバイザリやFYIなどの情報を配信する。実際にインシデントが発生すれば、各CSIRTと連携して問題解決を図るインシデントハンドリングを行なう。


「必要な人に、必要な情報を、いち早く」 脆弱性発見から被害発生までのフェイズでは情報の共有や情報流通の迅速化が欠かせない

NTT-CERTが提案した「ガーディアン構想」とは

ガーディアンがセキュリティ状況を一元的に監視し、システム運用者と連携して問題を解決する
 NTTのグループ各社では、NTT-CERT設立以前からセキュリティ責任者を配置していたが、現場ではセキュリティ責任者が必ずしも技術的なことを理解できなかったり、システム運用者間での連携も不十分だったという。また、情報資産が把握されていないケースや、問題がセキュリティ責任者に伝わらず放置されるケースもあった。

 こうした状況にNTT-CERTでは「ガーディアン構想」を提案した。ガーディアン構想とは、セキュリティ責任者の補佐役として「ガーディアン」を任命。このガーディアンがセキュリティ状況を一元的に監視し、システム運用者と連携して問題を解決する。いわばセキュリティ責任者とシステム運用者の連携を担うスタッフだ。

 2004年9月からはある事業会社で実験的にガーディアンを配置した。情報資産の一元管理や定常的なセキュリティチェック、対処判断の支援、対処状況の追跡、セキュリティ責任者へのレポートなどをガーディアンが担当することで、「システム運用者任せではなく、セキュリティ責任者が主体的に関与できるようになった」という。

 特に定常的なセキュリティチェックについて、星氏は「監査だけではセキュリティの水準が危険領域に入るケースもある。監査は脆弱性を直すための手段ではなく、ポリシーやプロセスを改善する仕組み。定常的なチェックと監査を組み合わせることが重要だ」と指摘した。

 なお、モデルケースとなった事業会社では、ガーディアンが社長に自社のセキュリティ状況を説明することもあった。このため経営層のセキュリティに対する理解が深まり、「脆弱性の修正までの期間が一気に縮まった」という。その後、この事業会社ではガーディアンを全社的に配置する方針を決定した。


セキュリティ投資のリターンを明らかにすることが今後の課題

 NTT-CERTではこのほか、人脈形成や技術・ノウハウの共有、スキル向上を目的として「セキュリティワークショップ」も開催している。星氏は「ガーディアン体制やワークショップなどのフレームワークは出来上がりつつある」とした上で、今後はガーディアン体制の拡充に加え、CSIRT活動の評価を模索するという。

 「セキュリティ対策を行なう部署は、問題が何も発生しないことが成果。その一方で、何もないことはなかなか評価されない。幸いなことに上層部からの理解は得られており、活動を続けられているが、今後はスタッフのモチベーションをあげるためにも投資に対するリターンを明らかにしていきたい」と意気込みを語った。

関連情報

URL
  重要インフラ事業者向け情報セキュリティセミナー
  http://www.ipa.go.jp/security/event/2005/infra-sem/
  NTT-CERT
  http://www.ntt-cert.org/


( 鷹木 創 )
2006/03/23 15:45

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.