2016年2月18日
2016年2月18日
2016年2月18日(木)
CTFを嫌いにならないで
法政大学大学院 理工学研究科 応用情報工学専攻 / CTF for ビギナーズ
保要 隆明
高度化するサイバー攻撃に対応できる技術を持ったセキュリティ人材の発掘や育成を目的としたセキュリティコンテストが日本でも活発に開催されるようになってきました。その中でも最も盛り上がっているのが、CTF (Capture The Flag) です。
CTFはコンピュータセキュリティの技術や知識を競うコンテストで、ゲーム形式で情報セキュリティに関連する知識を学べるため、セキュリティに興味がある若年層を中心に人気があります。学生である私も、CTFの大会に数年前から参加しており、情報セキュリティに関連する知識だけでなく、ITに関連する幅広い知識を学んでいます。また、「CTF for ビギナーズ」という勉強会を通して、より多くの人にCTFに興味を持ってもらうための活動も行っています。
このような活動を行う中で、「CTFは難しくて取っ付きにくい」、「CTFは何の役に立つのか」という声を耳にしたことがあります。
このように感じてしまったのは恐らく、ある程度のレベルの知識とスキルがないと得点できないCTFに参加されたためだと思います。例えば、世界最高峰のCTF大会であるDEF CON CTFは、予選でもハイレベルな問題が出題され、初めてCTFに参加する人には1ポイント獲得することも難しいです。CTFの初心者がこのような大会に出てしまうと問題を全く解くことが出来ず、多くの人は「CTF は難しい」、「何の役にも立たないじゃないか」と思うのではないでしょうか。
しかし、世の中のCTFは必ずしも難しいものばかりでなく、簡単なCTFもあります。このようなCTFでは過去に出題された問題の類題や、セキュリティの世界で有名なことを題材にした問題が多く出題されます。そのため、少し検索エンジンを使って調べることで、解ける問題が多いと思います。私が最初にCTFに参加した時、このような問題でも解答できると達成感を味わうことができて、「CTF、楽しい!!」と思ったことは今でも覚えています。このような感覚は、特にCTFの初心者にとって重要であると考えていて、CTF for ビギナーズの演習問題もそのような達成感を初心者の方にも感じて頂けるように意識して作問しています。
また、上記のようなCTFであれば、情報セキュリティに関連する基礎的なスキルの底上げの役に立つと思います。CTFのレベルが上がっていくと問題を難しくするために、あまり現実の状況に即さない問題が出題されることが多くなります。一方、基礎的なスキルが学べる問題は、あまりレベルが高くないCTFでも出題されます。CTFと言っても難しいものと捉えずに挑戦してみると、意外と学べることが多いと思います。もし問題が解けなくても、Writeupと呼ばれる問題の解法の解説をCTF終了後に多くの参加者がブログ等で公開するので、そこから他の参加者の解法を学ぶことも出来ます。
このように、簡単なCTFから挑戦すると、「CTFは難しくない」、「役立つものがある」と思って頂けるのではないでしょうか。情報セキュリティの実践的なスキルを身につけるには、資格試験などの座学だけでは不十分であり、実際に手を動かして体感することが重要だと思います。学んだスキルを悪用しないように教えて行くと同時に、簡単なことからでも良いので、多くの人が手を動かして実践的なスキルを身につけていけば、日本のセキュリティ人材不足も良い方向に進むと私は信じています。
私がCTFに出会った頃は、CTFの世界に入門するためのコンテンツが限られており、知人に紹介しにくい状況でした。しかし最近では、私も運営に携わっているCTF for ビギナーズや、比較的簡単な問題を集めたCTFサイトなど初心者向けのコンテンツも充実してきており、CTFの世界に入りやすくなって来ていると思います。是非これらのコンテンツを活用してみなさんもCTFの世界に入門してみてはいかがでしょうか。
最後になりますが、CTFに関連するサイトを紹介しておきます。
初心者向けだと思う常設CTF問題サイト
・ CpawCTF (https://ctf.cpaw.site/)
・ MNCTF (http://mnctf.info/mnctf/)
・ ksnctf (http://ksnctf.sweetduet.info/)
CTFの情報サイト
・ CTF Time (https://ctftime.org/) 世界のCTF大会のスケジュールやチームランキング
・ Githubのctfリポジトリ (https://github.com/ctfs) 過去のCTFの過去問、Writeup
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
2016年2月18日(木)
CSIRTの現状と問題点
東京大学 情報学環 セキュア情報化社会寄付講座
特任准教授 満永 拓邦
昨今のサイバー攻撃による被害の深刻化を受けて、企業や組織において CSIRT(Computer Security Incident Resopnse Team)を構築する動きが活発化している。
先日、閣議決定された「サイバーセキュリティ戦略」をはじめ、日本経済団体連合会が公開した「サイバーセキュリティ対策の強化に向けた提言」、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」などにも CSIRTの整備や構築に関する記載があり、来るべき東京オリンピックに向けて、 CSIRTの普及、発展が見込まれる。
本コラムでは、 CSIRT の必要性や現状などについて紹介する。
(なお、本コラムは CSIRTについて基礎的な知識を理解していることを前提に記載している。 CSIRT の役割や組織については以下の URL を参照されたい。 )
CSIRT ガイド - JPCERT コーディネーションセンター
https://www.jpcert.or.jp/csirt_material/files/guide_ver1.0_20151126.pdf
(1)CSIRT の必要性
(1-1)事前対策だけでなく事後対応も
私が情報セキュリティを学び始めた 10年前頃は、予防的な対策によりサイバー攻撃からの被害を抑えることが情報セキュリティの主流的な考え方であったように思う。事前の対策を適切に施せば、サイバー攻撃によるデータの破壊や改ざん、情報窃取、システム停止などのセキュリティインシデント(以下、「インシデント」)は発生しないという意見も見受けられた。
しかしながら、攻撃手法の巧妙化によって事前の対策では十分に対処しきれない事例も出てくるようになった。例えば、標的とする組織が日常的に閲覧している Web サイトを改ざんし、攻撃コードを設置する「水飲み場攻撃」や、ソフトウエアのアップデートサーバに侵入し、不正なプログラムを配信するアップデートハイジャッキングなどの攻撃は事前の対策のみでは対応が困難である。また、攻撃で利用される脆弱性についても、製品ベンダーが更新プログラムを提供していない、いわゆるゼロデイの脆弱性が利用される事例も少なくない。
商用のセキュリティ対策製品も進化を続けており、非常に多くの攻撃を検知することが可能であるが、日々変化する攻撃の全てを検知するのは現実的には困難である。そのため、事前の対策を十分に行うことと併せて、インシデントの発生に備えた対応体制を構築しておくということが必要になる。
インシデント対応支援の経験上、インシデントの発生を想定しない組織では、対応手順やルール(例えば、各部門の担当者、役割、権限、エスカレーションフローなど)が定まっていない、あるいは定まっていても形骸化しているために、初動対応に遅れが生じる。例えば、一般ユーザにサービスを提供している Web サーバに侵入を受けた場合、 Web サーバを停止すると売上に影響するとなると、インフラの運用を担当する情報システム部門だけでは Web サーバを停止するかどうかの判断は困難である。
サービスを提供している事業部門、対外的に情報を発信する広報部門、場合によっては法務部門など組織横断的に状況を共有し、対策を協議したうえで迅速な意思決定が求められる。もちろん、組織への影響が大きいインシデントであれば経営層へ報告し、判断を仰ぐことも必要となる。対応手順やルールが定まっていない状態では、議論が長引く傾向にあり、ともすれば犯人捜しが始まってしまうこともある。
また、手順やルールだけではなく、誰が動くかということも考えなければならない。動くべき人が、 CSIRT としてインシデント対応の役割を持っていない場合は、職掌、工数、業務へのアサインなど組織内の事情が原因で、イザと言うときに動けないということにもなりかねない。
全てのサイバー攻撃を事前対策だけでは防げないため、迅速なインシデント対応による被害の軽減を目的として、 CSIRT のような緊急対応体制を備えることは組織にとって非常に重要であると言える。
(1-2) 外部組織からの連絡
ある組織で発生したインシデントを初めに検知するのは必ずしも被害組織ではなく、それよりも先に組織外の人がインシデントに気づくこともある。例えば、攻撃者が脆弱性を利用し Web サーバに保管されているデータを窃取した後に、インターネット上の掲示板にデータを公開するような事例である。
私が技術アドバイザーを務める一般社団法人 JPCERTコーディネーションセンターでは、そのように意図せず公開されているデータを見つけた場合に、被害組織の CSIRT 窓口やセキュリティ担当者(もし居なければ Web サーバ管理者など)に対し「サイバー攻撃による被害を受けている可能性がある」旨の連絡を行うことがある。
そうした事例は珍しいことではなく、共同通信社の取材でも、2015年にサイバー攻撃によってデータが流出したことを明らかにした国内組織140組織のうち75組織が、発覚のきっかけは外部からの連絡だったと発表している。
被害を受けている可能性がある組織に連絡する際に、日常からサイバーセキュリティの動向を把握している担当者が、組織内にいる場合は情報の受け渡しがスムーズに進む。しかしながら、そうした担当者がいない場合は、攻撃の背景、攻撃手法、被害による影響など説明し、状況を理解していただいたうえで、対応を始めるため相当時間がかかる。 JPCERT コーディネーションセンターでの事例では、窓口となる担当者を設置していない組織にインシデントとそのリスクを適切に伝えるために 60日以上の時間を要したこともある。
外部からの連絡が担当者まで届き、報告内容の精査を踏まえて、迅速な対応に繋げる体制としての CSIRTという観点も重要である。
(1-3)組織内外での信頼醸成
自然災害の分野では、リスクコミュニケーションという考え方がある。自然災害のリスクについてテレビなどで広く伝えても、視聴者の行動には直接は結びつきにくいという調査結果がある。
同じ専門家でも、それほど面識がない人に「危ないから逃げろ」と言われるのと、日常から付き合いがある人から同じことを言われるのでは、行動に移す確率が異なるというのは直感的にも理解できる。
リスクコミュニケーションの観点から考えると、情報の受け手が行動を起こすためには、継続的なコミュニケーションを通じた信頼醸成が効果的であるとされている。捉え方によっては「義理人情浪花節」の世界と通じるところもあるが、私はサイバーセキュリティの世界でも同じことが言えると考えている。やはり、専門家として信頼している人からの情報は重みが違うものである。
外部窓口にも関連する事ではあるが、そうした関係から得られる情報から、迅速なインシデントの検知、対応につながることもある。 CSIRTを通じた信頼醸成が、間接的な効果ではあるが、サイバーリスクの軽減に繋がると信じている。なお、信頼醸成において CSIRTのコミュニティである日本シーサート協議会や FIRSTのような場は非常に有用である。
(2) CSIRTの現状とこれから
ここ数年間で日本シーサート協議会の一般会員数は急増し、現在116組織まで達し、今後も増加傾向が続くとみられる。私個人は、かなり極端な主張を掲げており、経団連加盟企業 1,329社、証券取引所に上場している企業 3,507社すべてに CSIRTを構築するべきだと考えている。
例えば、経団連の入会資格には「リスク管理体制・内部統制システムが導入・整備されていること」という要件があり、また上場企業には「事業等のリスク」の開示することが義務づけられている。昨今のサイバー攻撃による被害の深刻さに鑑みると、サイバー攻撃による経営上のリスクは決して看過できないものであり、リスクマネジメントの一環として、インシデント発生を想定した組織横断的な対応体制、すなわち CSIRTが必要である。
一方で、増加に伴い課題も見えてきている。形式的に CSIRTを構築したものの、実効性をもたない「名ばかり CSIRT」も増えていると聞く。これは、 CSIRTは組織内の既存枠組みや文化によって適した体制が異なるため、他のセキュリティ関連標準などと比較して、一律に評価しづらいためである。そうした課題に、日本シーサート協議会のワーキンググループでも、 CSIRTが持つべき機能や役割に対する評価方法や、 CSIRTに必要な人員について明確にするため資料を公開しているが、更なる CSIRTコミュニティの発展のため、産官学一丸となって引き続き議論を深めていければと考えている。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。