CSIRTが倫理的に行動するために必要なこと

CSIRTの倫理ガイドライン

　CSIRTの国際的なコミュニティであるFIRST（Forum of Incident Response and Security Teams）は「Global Ethics Day（毎年10月の第3水曜日）」である2020年10月21日にインシデント対応およびセキュリティチームのための倫理ガイドライン「ethicsfIRST」を発表しました。

　これはFIRSTの「Ethics SIG（Special Interest Group）」が作成したもので、サイバーセキュリティの専門家がインシデントに際して、プロとしてかつ倫理的に行動するための手引きとなるものです。

　背景として、インシデント対応およびセキュリティチーム（以下、チーム）のメンバーは多くのデジタルシステムや情報源にアクセスすることができるため、そのメンバーの行動は世界を変えてしまうこともあり、それゆえにチームメンバーは自分たちのコンスティチュエンシー（constituency：CSIRTのサービス対象者、守る対象）や他のセキュリティ専門家、さらにはより広い社会に対する責任を認識しなければならず、また、自分自身の幸福（well-being）に対する責任も認識しなければならないとしています。

　これを踏まえ、ethicsfIRSTは、チームメンバー全員の倫理的行動を喚起し、かつガイドすることを目的に、公共の利益が常に第一に考慮されなければならないとの考えに基づいて、責任の表明として策定された原則とそれぞれの原則を補完するガイドラインから構成されています。

　具体的には以下の12の原則が義務としてまとめられています。なお、括弧内の日本語訳は正式なものではなく、単なる参考訳です。

• Duty of trustworthiness（信頼性の義務）
• Duty of coordinated vulnerability disclosure（協調的な脆弱性開示の義務）
• Duty of confidentiality（機密保持の義務）
• Duty to acknowledge（受領確認を返信する義務）
• Duty of authorization（権限付与・委任の義務）
• Duty to inform（情報を提供する義務）
• Duty to respect human rights（人権を尊重する義務）
• Duty to Team health（チームの健康に対する義務）
• Duty to Team ability（チームの能力に対する義務）
• Duty for responsible collection（責任ある収集の義務）
• Duty to recognize jurisdictional boundaries（管轄権の限界を認識する義務）
• Duty of evidence-based reasoning（証拠に基づく論理的思考の義務）

　インシデント対応の経験があれば、上記の原則はそれぞれの説明文であるガイドラインを読まなくても概ね理解できると思いますが、それでもいくつか分かりづらい項目があるので、そのガイドラインの参考訳を以下に記しておきます。

　一方、これらの義務を遂行する際に生じる可能性があるジレンマへの対処法が、Appendixとして最後に紹介されています。以下は参考訳です。

　CSIRTの中には、チームメンバーの行動指針（code of conduct）を定めているケースがいくつかあります。マニュアル通りにはいかない不測の事態に対応しなければならないことが多いCSIRTにとって、行動指針を定めることはとても意味のあることです。今回のethicsfIRSTはあくまで「倫理的行動」という観点でまとめられたものですが、一般的な行動指針を策定する際にも大いに役立つものです。PDFで全5ページと量も多くないので、まずは一読の上、ぜひ参考にしてみてください。

2020年に最も狙われた脆弱性

　米セキュリティ企業Recorded Futureは、前年の1年間で最も狙われた脆弱性トップ10を報告書として毎年発表しており、その2020年版が「Top Exploited Vulnerabilities in 2020 Affect Citrix, Microsoft Products」として公開されました。

　今回は本連載の1年前の記事で紹介した2019年版とも比較しながら、ポイントをいくつか紹介します。

　2020年のトップ10で目を引くのは、いつもながらMicrosoft製品の脆弱性が多数を占めている点でしょう。この中にはZeroLogonやSMBGhostといった「有名どころ」の脆弱性も含まれています。また、これまでランクインすることが全くなかったCitrixやPulseConnect、Oracleの製品が入っているのも2020年の特徴です。さらに、CVSS基本値が9以上の極めて高いものが少なくはないですが、10のうち6つは7点台であり、今回の結果もまた、CVSS基本値の数値そのものが「悪用されやすさ」を表すものではないことを示している典型例と言えるでしょう。

　しかし、2019年までと比較して最も大きく異なる点は、何と言っても、これまで「常連中の常連」だったAdobe Flash Playerの脆弱性が1つも含まれていない点でしょう。主要なウェブブラウザーではFlash Playerを標準で無効にする処置が施されるなど、攻撃者たちにとって「おいしい」攻撃先ではなくなったことが、今回の結果に如実に現れています。

　2016年以降で比較したのが以下の図です。

　2019年は前年以前から継続して狙われている脆弱性が半数以上を占めていたのですが、2020年は2つのみ。それ以外の8つは全て2019年と2020年という比較的新しい脆弱性で、2019年から2020年の間で顔ぶれが大きく変わったことが分かります。

　古い脆弱性が多く悪用されていた2019年の状況が示していたのは、パッチを適用せずに放置されているものが多いということであり、これは即ち「速やかなパッチ適用」を実施していれば多くの攻撃を防げるということでした。一方、新しい脆弱性が積極的に狙われている2020年の状況は、公になった脆弱性が悪用されるまでの時間がますます短くなってきている現状を反映したもの（の1つ）とも言え、これもまた「速やかなパッチ適用」が今まで以上に求められていることを示すものでしょう。

　今回の調査結果は、「速やかなパッチ適用の重要性」とともに、「パッチ適用可能性の高い（パッチを適用しやすい）システムの必要性」を示すものとして、うまく利用してください。