Monday, February 28, 2011

インドネシアNational CSIRT Id-SIRTIIに聞く マルウエアラボの設立の意義とその活動

※本情報は、2010年8月24日に取材した内容と電子メールによる追加取材の内容から構成したものです。

インドネシアのNational CSIRT(National Computer Security Incident Response Team:ナショナル シーサート)であるId-SIRTIIが、2010年5月から独自のマルウエアラボを立ち上げ、活動を開始している。

そのマルウエアラボ設立にJPCERT/CCが協力した関係もあり、Id-SIRTIIからMizamil氏(Deputy of Interagency and External Collaboration)、I Gusti Njoman Mantra氏(Deputy of Operation and Security)、そしてId-SIRTIIの管轄省庁からSuryowahono Oki氏(Assistant of Internet Protocol Access, Directorate of Telecommunication, Ministry of Communication and Information Technology)の3名がJPCERT/CCに来訪されたので、お話を伺うことにした。

 話し手:
 Id-SIRTIIのMantra氏(左)、Mizamil氏(中)、インドネシア政府情報通信省のOki氏


―今回は、インタビューに応じていただきありがとうございます。まず、Id-SIRTIIの組織背景と基本的な機能について教えてください。

Mantra氏:Id-SIRTIIのミッションは、インドネシアにおけるインターネットの発展促進です。
インターネットの発展を促進するため、インドネシアという国レベルのITセキュリティ問題への対応、重要インフラに対するインシデント対応、そして、セキュリティ情報の注意喚起、トラフィックモニタリング、法執行機関のサポート、技術支援、セキュリティ対策活動の調整などを行なっています。

―主な活動内容について教えていただけますか。

Mizamil氏:おそらく、他国のCSIRTと大きな違いはないと思いますが、Id-SIRTIIの活動は、次の7つのタスクに集約されます。

1. セキュリティマネジメントに関わる当事者への教育
2. トラフィックの監視、インシデントの検出、ISP等の関連組織への早期警戒情報の配信
3. 法執行機関に対するサポートを目的としたログファイルの収集、整理、保存および管理
4. インターネットセキュリティに関する相談受付およびインシデント対応
5. シミュレーションラボおよびトレーニングセンターの設立
6. 技術的アドバイスやコンサルティング
7. 国際連携活動の実施
―インドネシアでは、どのようなセキュリティインシデントが流行っているのでしょうか。

Mizamil氏:そうですね、まず、SQLのヒープベースオーバーフロー攻撃を挙げることができます。これは、Microsoft SQL Server 2000の脆弱性に起因するもので、不正ユーザによるアクセスを許し、DoS攻撃やバッファオーバーフローによる不正コードの実行など、深刻なダメージを与えます。
また、各種のDoS攻撃、DDoS攻撃の類と、トロイの木馬やボットネットの問題も深刻ですね。

―それらのインシデントについて、どのような対策が有効でしょうか。あるいはId-SIRTIIではどのような対策をとっていますか。

Mizamil氏:攻撃パターンが多岐にわたるので、有効な対策というのを定義するのは難しいかと思います。どのインシデントに対しても、連携をとらせていただく機関、企業やサービス対象者との情報共有を図り、協力体制を強化することが重要です。
先ほどお話ししました我々のタスクの1つである、セキュリティマネジメントに関わる当事者への教育も重要です。企業や教育機関の方々にお集まりいただき、毎週セミナーを開催して、知識の向上を図っています。
このようなセミナーの開催は、知識向上だけではなく、参加者同士、また我々との信頼関係や協力関係の構築と維持ができると考えています。このような機会を提供するのもCSIRTの役割であり、インシデントへの有効な対策であると考えています。
Id-SIRTIIでは、SourceFireという不正侵入防御システム(IPS: Intrusion Prevention System)を使った対策をとっています。SourceFireのスキャン対象は、ネットワーク上のすべてのデバイス、アプリケーション、挙動、ユーザの識別情報などで、リアルタイムで検出されるさまざまな事象を調査します。スキャンされた情報は、自動的に事象の優先順位付け、IPS情報の設定、不穏な挙動のブロック、IPアドレスからのユーザ識別情報の特定などに利用されます。これらの機能によって、IPS管理の一元化、コストダウン、統合的防衛、物理および仮想環境の保護などを実現しています。

―Id-SIRTIIでは、マルウエアラボを設立されましたが、その目的や機能について教えてください。

Mantra氏:マルウエアラボは、主にインドネシア国内のISPの要望に応えるため、ISP等の協力のもとに設立されました。マルウエアラボでは、国内ISPと共同でセンサー(ハニーポット)を設置し、トラフィックを監視しています。まだ、設置数が多くないことやポイントにばらつきがあるなど、インドネシア全体のトラフィックのサンプリングデータとして適切かどうかの検証が必要ですが、センサーに流れてきたトラフィックの半分ほどが、何らかのマルウエアを含むものとして観測されています。その一部は検体として収集されることもあります。ラボでは、それら蓄積されたトラフィックデータを解析しています。

―マルウエアの検体はどのようにして入手するのですか。

Mantra氏:主にISPから提供されるサンプル、検体が多いですね。

―インドネシアでは、どのようなマルウエアが多いのでしょうか。

Mantra氏:詳細データや統計的な分析については現在調査中です。この段階では、残念ながらお伝えできるような情報がありませんが、いまのところ、あらゆるウイルスやワームが観測され始めています。マルウエアラボ自体は2010年5月に設立されましたが、実質的な活動はまだまだこれからといった状態で、定量的なデータを蓄積しているところです。

―マルウエアラボは現在何人で運営されているのですか。

Mantra氏:現在は6名です。

―人員を増やす予定はありますか。

Mantra氏:運営の母体となるId-SIRTIIの人員も増やしていませんので、すぐにはありません。政府予算の関係もありますが、今年はマルウエアラボを設立するために特別な予算を組んでもらいましたので、まずは、センサー設置やトラフィック分析、検体分析などをとおして実績を挙げていくことが優先課題です。インドネシアにおいて、マルウエアを専門に解析する組織や企業が存在しなかったので、Id-SIRTIIのマルウエアラボがインドネシア初の専門機関となります。政府としても力を入れている分野です。

―インドネシア国内でメジャーなセキュリティベンダーを教えてください。

Mizamil氏:国内では、セキュリティ対策ソフトやサービスに特化した企業はほとんどありません。企業やISPのセキュリティ対策は、企業ごとにシステム部門が担当したり、個別にコンサルティング会社と契約したりなどで、パッケージやサービスを利用するというより、個別対応が中心となります。
このような中で、ISP同士、企業同士の情報共有やセキュリティ対応の調整機関として、Id-SIRTIIが機能しています。Id-SIRTIIは2007年5月に設立されましたが、当初はISPやコミュニティを中心としたプライベートな集まりでした。現在はNational CSIRTとして、政府の公式な機関として活動しています。

―今後の課題などはありますか。

Mantra氏:最大の問題は人事的なものです。現在、セキュリティや分析の知識に精通した人材を集めるのに非常に苦労しています。人事面とは別の問題としてはやはり予算です。固定的かつ管理が厳しい予算を強いられています。
インドネシア全体の課題では、セキュリティの啓発活動もその一つです。インドネシアではインターネットセキュリティに対する認識が不足しています。したがって、教育や社会制度による支援も必要です。

―セキュリティアナリストやエンジニアに意見やアドバイスなどありましたらお願いします。

Mantra氏:ますます多様性を増す、複雑なハードウェアやソフトウェアの開発において、アナリストや開発者に要求されるセキュリティスキルも増えるばかりです。今日のようなテクノロジーの進歩が早い状態では、知識をアップデートし、共有することが不可欠です。また、研究分野での協力体制も重要です。お互いに意見交換や情報共有ができるパートナーを見つけて、最新技術の情報を常に把握しておくことが最も大切ではないでしょうか。

No comments: