海の向こうの“セキュリティ”
現代のCSIRTが提供するサービスをまとめた一覧「FIRST CSIRT Framework Version 1.1」
2018年1月5日 06:00
CSIRT(シーサート:Computer Security Incident Response Team)が提供するサービス(≒役務)には、発生したインシデントに対応する「事後対応」以外にもさまざまなものがあり、それらをまとめたものとして国際的に古くから広く知られているのが、米CERT/CCが公開しているサービス一覧です。
- CERT/CC CSIRT Services List
https://www.cert.org/incident-management/services.cfm - [日本語訳の出典]
JPCERT/CC「コンピュータセキュリティインシデント対応チーム(CSIRT)のためのハンドブック」
https://www.jpcert.or.jp/research/2007/CSIRT_Handbook.pdf(PDF)
なお、ここに挙げられているサービスのすべてをCSIRTとして提供しなければならないわけではなく、状況に応じて取捨選択すればよいということに注意してください。
ところで、このサービス一覧はあまりに古いため、例えば、非技術的なものも含めた脅威情報の収集分析および共有といった、多くのCSIRTがすでに実施しているサービスが明確なかたちで含まれていないなど、現実にそぐわない部分が出てきてしまっています。そこで、国際的なCSIRTのコミュニティであるFIRST(Forum of Incident Response and Security Teams)のEducation Advisory Boardは「現代の(modern-day)CSIRT」に合った新たなサービス一覧を作りました。それが、2016年春に公開された「Security Incident Response Team(SIRT)Services Framework Version 1.0」です。
- FIRST SIRT Services Framework Version 1.0
https://www.first.org/education/FIRST_SIRT_Services_Framework_Version1.0.pdf(PDF)
このフレームワークも、CERT/CCのサービス一覧同様、すべてのサービスをCSIRTとして提供しなければならないわけではなく、必要なものだけを選べばよいというものです。
このバージョン1.0ではさまざまなタイプのCSIRTが提供するサービスを1つの文書にまとめていましたが、これを改訂するかたちで2017年5月に公開された「FIRST CSIRT Framework Version 1.1」では、組織内で発生したインシデントに対応するCSIRT(CERT/CCによる分類では「組織内CSIRT(Internal CSIRT)」と呼ばれる)を中心に整理し直し、自社製品の脆弱性に対応する、いわゆる「PSIRT(Product Security Incident Response Teams)」については別文書に切り出されています。なお、PSIRTのサービスフレームワークについては本稿執筆時点でドラフト版が公開されています。
- FIRST CSIRT Framework Version 1.1
https://www.first.org/education/csirt_service-framework_v1.1(HTML版)
https://www.first.org/education/FIRST_CSIRT_Services_Framework_v1.1.pdf(PDF版) - FIRST PSIRT Services Framework Version 1.0(Draft)
https://www.first.org/education/Draft_FIRST_PSIRT_Service_Framework_v1.0(HTML版)
https://www.first.org/education/Draft_FIRST_PSIRT_Service_Framework_v1.0.pdf(PDF版)
CERT/CCのサービス一覧ではサービスを「事後対応」「事前対応」「品質管理」の3つに分類しただけでしたが、「FIRST CSIRT Framework Version 1.1」では以下の図のような構成でまとめられています。
この図で「Internal activities」とは、CSIRTが提供するサービスそのものではなく、サービスを適切に提供するために必要な活動を指しています。この「Internal activities」をサービスから明確に分離したのもバージョン1.1の特徴です。なお、「Internal activities」については、必ずしもCSIRT内部の活動とは限らず、また、このフレームワークですべてを網羅しているわけではありません。
まず、最も大きな分類である「Service Area」は以下の7つです。
- Incident Management
- Analysis
- Information Assurance
- Situational Awareness
- Outreach/Communications
- Capability Development
- Research And Development
以降ではこれら7つの「Service Area」に分類される個々の「Service」とそれを実現するための「Function」を簡単に紹介します。
Service Area 1 - Incident Management
いわゆる「事後対応」としてのインシデント対応全般です。なお、これまで一般的に「Incident Management」という用語は、事前の備えを含めた広い範囲、より簡単に言えば、CSIRTが扱う範囲全般を指していましたが、このフレームワークでは事後対応という狭い範囲のみを指すものとして使われていることに注意が必要です。
- Service 1. Incident Handling
- Function 1. Incident Validation and Classification
- Function 2. Incident Tracking
- Function 3. Information Collection
- Function 4. Coordination and reporting
- Function 5. Communication with news media - Service 2. Incident Analysis
- Function 1. Impact Analysis
- Function 2. Mitigation Analysis
- Function 3. Recovery Analysis - Service 3. Incident Mitigation and recovery
- Function 1. Containment
- Function 2. Restore confidentiality, integrity, availability
Service Area 2 - Analysis
(主に技術的な)分析業務です。CSIRT内で実施されるものもありますが、高度なものは外部の専門業者に依頼するのが一般的です。
- Service 1. Artifact Analysis
- Function 1. Surface Analysis
- Function 2. Reverse Engineering
- Function 3. Run Time or Dynamic Analysis
- Function 4. Comparative Analysis - Service 2. Media Analysis
- Service 3. Vulnerability / Exploitation Analysis
- Function 1. Exploitation Vulnerability / Path Analysis
- Function 2. Root Cause Analysis
- Function 3. Remediation Analysis
- Function 4. Mitigation Analysis
ここで「Service 2. Media Analysis」の「Media」とは、ハードディスク、モバイル端末、リムーバブルメディア、クラウドストレージ、紙、ビデオなどを指しています。
Service Area 3 - Information Assurance
事前の備えである情報保証としてのリスクアセスメントや脆弱性診断、パッチマネジメントの他、セキュリティポリシーの運用支援、事業継続計画(BCP)および災害復旧計画の支援、日常的なセキュリティに関わる技術的アドバイスなどが含まれます。
- Service 1. Risk Assessment
- Function 1. Inventory of Critical Asset/Data
- Function 2. Standards Evaluation
- Function 3. Execute Assessment
- Function 4. Findings & Recommendations
- Function 5. Tracking
- Function 6. Testing
- Function 7. Risk Assessment Advice - Service 2. Operating Policies Support
- Service 3. Business Continuity and Disaster Recovery Planning Support
- Service 4. Technical Security Support
- Service 5. Patch management
Service Area 4 - Situational Awareness
非技術的なものも含む脅威情報の収集分析および共有などの活動です。
- Service 1. Metric Operations
- Function 1. Requirements Analysis
- Function 2. Data Source Identification
- Function 3. Data Acquisition
- Function 4. Results Management - Service 2. Fusion and Correlation
- Function 1. Determine Fusion Algorithms
- Function 2. Fusion Analysis - Service 3. Development and Curation of Security Intelligence
- Function 1. Source Identification and Inventory
- Function 2. Source Content Collection and Cataloguing
- Function 3. Information sharing
Service Area 5 - Outreach/Communications
組織内の意識啓発や情報共有、組織内外に向けた情報発信、ポリシー策定の支援、インシデント対応の法的側面に関するアドバイスなどが含まれます。
- Service 1. Security Awareness Raising
- Service 2. Cybersecurity Policy Advisement
- Function 1. Policy Consultancy
- Function 2. Legal Consultancy - Service 3. Information Sharing and Publications
- Function 1. Public Service Announcements
- Function 2. Publication of Information
Service Area 6 - Capability Development
組織全体としての能力向上を目的とした活動で、訓練や教育をはじめ、インフラの設計・構築におけるセキュリティ観点での支援、ツールの評価などが含まれます。
- Service 1. Organizational Metrics
- Service 2. Training and Education
- Function 1. Knowledge, Skill, and Ability Requirements Gathering
- Function 2. Development of Educational and Training Materials
- Function 3. Delivery of Content
- Function 4. Mentoring
- Function 5. Professional Development
- Function 6. Skill Development - Service 3. Conducting Exercises
- Function 1. Requirements Analysis
- Function 2. Format and Environment Development
- Function 3. Scenario Development
- Function 4. Executing Exercises
- Function 5. Exercise Outcome Review - Service 4. Technical Advice
- Function 1. Infrastructure Design and Engineering
- Function 2. Infrastructure Procurement
- Function 3. Tools Evaluation
- Function 4. Infrastructure Resourcing - Service 5. Lesson learned
Service Area 7 - Research And Development
インシデント対応をはじめとするCSIRTのさまざまな活動に関連した研究開発です。
- Development of Vulnerability Discovery/Analysis/Remediation/Root Cause Analysis Methodologies
- Development of Technologies and Processes for Gathering/Fusing/Correlating Security Intelligence
- Development of Tools
次に、CSIRTのサービス提供を支える活動である「Internal activities」についても紹介します。本フレームワークでは大きく分けて以下の5つが挙げられています。
Internal activity 1 - Data and Knowledge Management
CSIRTが扱うデータやナレッジの管理についてまとめたものです。
- Standards/Specifications Management
- Data Storage Management
- Data Processing Management
- Data Access Management
- Automation Support
Internal activity 2 - Relationship Management
組織内外との連携・調整に関する活動で、中には、CSIRTメンバーと組織内職員との意見交換や交流を目的としたカンファレンスやワークショップの開催なども含まれています。
- POC and Communications Management
- Peer Relationship Management
- Stakeholder Relationship Management
- Conferences / Workshops
- Stakeholder Engagement/Relations
Internal activity 3 - Branding/Marketing
CSIRTの存在や活動内容、CSIRTとの連絡方法を組織内に周知する活動です。
Internal activity 4 - Participating in Exercises
組織内で行われる訓練にCSIRTメンバーとして加わることで、CSIRT自身の成熟度を向上させるというものです。
Internal activity 5 - Lessons Learned Review
教訓からは、組織内職員だけでなく、CSIRT自身も学ぶべしというものです。
今回紹介したフレームワークは、CERT/CCのサービス一覧と比べて網羅性があり、より実態に合ったものになっているのは間違いないのですが、サービスごとの記述の粒度がそろっていないため、少々バランスが悪いのが気になります。また、十分なレビューがされていないためか、体裁がそろっておらず、読みにくいところがあるのも問題です。
一方、CSIRTがサービスを提供する相手(=CSIRTが守るべき対象)をこれまでは一般的に「Constituency」と表現していましたが、このフレームワークでは基本的に「Stakeholder」と表現しています。これは、これから新規にCSIRTを構築しようとする組織向けに分かりやすい一般的な表現を使うように配慮した結果と思われますが、一部では「Constituent」「Constituency」という表現も使われており、統一されていないのも気になるところです。
このように、まだ完成度が高いとは言えない部分があり、近い将来に再び改訂が入る可能性はありますし、そもそもこのフレームワークが事実上の「国際標準」になるかどうかも現時点ではまだ分かりません。それでも、例えば「Incident Management」の指す範囲がこれまでとは違っていたり、「Constituency」という表現を避ける傾向が見られたりするなど、CSIRTに関する用語(≒CSIRT間の国際的な共通言語)に影響を与える部分もありますので、CSIRTに関わる人であれば、文書に目を通すだけでなく、今後の動向も追っていったほうがよいでしょう。