JPCERT/CCによるCSIRT研修

2021年6月18日

2021年6月15日から18日までの4日間、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)によるCSIRT研修がオンラインで実施されました。ベトナムからはプロジェクトのカウンターパートである情報通信省情報セキュリティ局(AIS)から11名、他政府機関から12名、国営企業から6名が参加しました。

(注)CSIRT(Computer Security Incident Response Team)とは組織のPCやサーバ、ネットワーク上、特にインターネット上でセキュリティの問題(インシデント)が発生していないかを監視し、インシデントが発生した場合にその原因解析や影響範囲の調査を行い、問題解決や再発防止を行う組織の総称。組織内に設置される他、国ごとに国家を代表するCSIRTが設置されることが多い。日本の場合は、JPCERTコーディネーションセンター(JPCERT/CC)および内閣サイバーセキュリティセンター(NISC)がそれにあたる。

研修科目は以下の通りです。
1)CSIRTs and Advanced State Sponsored Attacks
2)Roles and responsibilities of JPCERT/CC
3)CSIRT Fundamentals
4)Incident Coordination
5)Regional and Global Coordination
6)TSUBAME
7)Security Incident Trends
8)Mejiro
9)Summary, Feedback, Course Certificate, and Way Forward

各セッションの概要と印象に残った場面を報告します。

1)CSIRTs and Advanced State Sponsored Attacks
世界初のCSIRTであるアメリカのCERT/CCの設立経緯から説明がはじまりました。当初は「火事が起きた時の火消し」のような役割でしたが、近年はインターネットの発展により、攻撃者を突き止めたり、ネットワークを監視したりと役割が増えてきました。また、国家によっては、ソーシャルメディアの検閲や他国へのサイバー攻撃を期待しているケースもあるとのことでした。
JPCERT/CCがベトナムに対してCSIRTに関する研修を提供する理由は、お互いの国内のサイバー空間を守るためには、双方が協力することが必要であるからです。また、同じ国や団体からの攻撃から守るためには、相互に情報共有する必要があります。CSIRTの文化でもっとも重要なのは、お互いに助け合うということです。今回のような研修そのものが、お互いに助け合う文化を表していると言えます。サイバー攻撃技術や取り巻く環境が複雑化する中で、国際連携はさらに難しくなります。そのような中で協力するために、技術情報の共有だけではなく、お互いの組織や人を知り、理解することの重要性が強調されました。

2)Roles and responsibilities of JPCERT/CC
JPCERT/CCの活動概要の説明がなされました。JPCERT/CCは内閣サイバーセキュリティセンター(NISC)と分担して日本国のNational CSIRTとして機能しています。
AISからは、JPCERT/CCが公開する脅威情報を受けとる方法について質問がありました。

3)CSIRT Fundamentals
各国のCSIRT組織が加盟している国際団体FIRST(Forum of Incident Response and Security Teams)の教材を用いて、CSIRTの概要・CSIRTビジネス計画・CSIRTアーキテクチャ・必要な人材の能力等、CSIRT組織で業務をする上で基礎となる内容が説明されました。特に、CSIRTの活動が誰の役に立っているかということを認識することの大切さが強調されました。

4)Incident Coordination
同じくFIRSTの教材を用いて、セキュリティイベントの種類・インシデントマネジメント・CSIRT組織構造・インシデント対応プロセスを学びました。今回、AISの内部組織であるVNCERTコーディネーションセンター(VNCERT/CC)からは新人の参加が多かったことから、3)のセッションと合わせて、CSIRT組織員としての基礎が学べたのではないかと思います。
3)のセッションと合わせて、ベトナムおよび日本における地方自治体のサイバーセキュリティ体制について質問がありました。特にベトナムの地方都市ではセキュリティに関する多くの課題があることが日本側にも共有されました。

5)Regional and Global Coordination
JPCERT/CCの日本国内での活動および国際連携についての紹介です。JPCERT/CCは国際的にはFIRSTでBoard of Directorsの一員を務める職員がいるほか、アジア太平洋地域のCSIRT組織であるAPCERT(Asia Pacific Computer Emergency Response Team)の事務局として活動をリードしています。日本国内では、フィッシング対策協議会や日本シーサート協議会の事務局として日本のサイバーセキュリティ対策やCSIRT能力強化を図っていることが紹介されました。
ベトナム国内にも自発的な情報共有の仕組みはいくつかありますが、各セクターに情報共有体制ISAC(Information Sharing Analysis Center)は整備されておらず、今後の整備が望まれます。

6)TSUBAME
JPCERT/CCが運用するインターネット定点観測システム(TSUBAME)に関して、2020年におけるベトナムでの観測結果が共有されました。ベトナム国内にはセンサが設置されており、そのデータをJPCERT/CCが分析し、センサ設置国に共有しています。データ自体を設置国が入手することもできます。JPCERT/CCの報告の中では、ベトナム国内において解放されているポートに到達する通信パケットの状況を分析した結果、ネットワークセキュリティの脆弱性のリスクが指摘され、ベトナム側で対応を検討すべきという提案がありました。また、JPCERT/CCが行っているTSUBAMEデータの分析方法も具体的に教授されました。AISが今後、習った方法で分析を進めることが期待されています。

7)Security Incident Trends
2020年に日本で多く発生し、JPCERT/CCが対応した脅威についての報告セッションです。インターネットの仮想的な専用回線であるVPN(Virtual Private Network)の脆弱性をついた攻撃、Emotet等のマルウェア拡散攻撃、身代金目的のランサムウェア攻撃に関する技術的な解説、およびJPCERT/CCが行った対応が共有されました。同様の攻撃はベトナムでも発生しうるため、参加者にとっては実務に役立つ情報も多かったと思います。
メール攻撃の対応やユーザ側の対策等、ベトナムの地方都市や銀行が直面している課題について、率直に質問がなされました。JPCERT/CCも可能な範囲で日本の知見を共有しましたので、セキュリティ対策の向上に活かされることを期待します。

8)Mejiro
JPCERT/CCが運用するインターネットリスク可視化サービスMejiroの紹介と活用方法が共有されました。Mejiroでは、インターネット上のリスク要因に関するデータを収集し、国・地域別の指標を計算して可視化しています。Mejiroを用いて2020年のベトナム国内の脆弱性を分析した結果分かった、不要なポートが解放されていたり、古いバージョンのOSやプロトコルが使用されたりしている可能性について指摘がなされました。AISをはじめ各組織には、国内の端末の状況やその脆弱性を調査し、セキュリティ対策を強化することが求められます。
AISに限らず、ベトナムの各組織のセキュリティ担当者も公開されている脅威情報を参照し、セキュリティ対策を講じています。Mejiroでできることについて、ベトナムの政府組織や地方自治体から具体的な質問が飛び交いました。

9)Summary, Feedback, Course Certificate, and Way Forward
最終セッションで、JICA専門家から、4日間の研修内容の振り返りを行った後、共有された知見を実際に活用することが勧められました。

【参加者全員に期待すること】
・具体的な対策、関係機関との情報共有方法を業務に活用する
・CSIRTとしての心構えを確認する
・自部門のミッションとタスクを確認する
・国内外での連携を推進する

【AISに対して期待すること】
・キャリア開発計画に関して、明確な行動計画を立てる
・TSUBAMEデータの活用を推進する

その後、参加者に対して修了証とチャレンジコインが贈呈されました。JPCERT/CCからは、チャレンジコインは同じミッションに参加した後、バラバラになっても全員が同じ仲間としてがんばったという証であると説明されました。

最後にVNCERT/CCの代表から、COVID-19の厳しい状況でも、オンラインで研修ができたことをうれしく思うという感謝の言葉が述べられました。また、個人個人がサイバー空間の戦士であるということを認識し、単独ではセキュリティを確保できず、協力し、助け合い、共有しあってこそセキュリティを確保できる、ということを改めて強調されました。

今回の研修を受けて、ベトナム側は具体的にセキュリティを強化し、日本・ベトナム間の協力がさらに促進されることが期待されます。JICAプロジェクトも双方の協力が促進されるように支援を続けます。

【画像】

【画像】