米国 世界最古のCSIRTで学んだこと 情報共有はゴールではない、共有すべきは……（前編）：サイバーセキュリティマネジメント海外放浪記（2/2 ページ）

カーネギーメロン大学のCERTコーディネーションセンターで20年。多数の企業や大学、NGO、政府機関などと仕事をし、毎日、多くのことを学んでいた。

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　最近は、政府機関もサイバーセキュリティの能力を高めていて、脅威情報、防御手法、サイバー攻撃への対応策などさまざまな学びを共有するための官民連携のベストな在り方を模索しています。そういった活動に関わるとき、私はいつも言っています。「情報共有はゴールではない、共有すべきなのは能力なのだ」と。この世界にはまだまだやることがあります。

鎌田　情報共有は日本でも目的になってしまいがちで、情報共有ありきで進めようとしたプロジェクトが失敗したケースもたくさん見ています。

ジェフ　それは世界中どこでも同じでしょう。

インターネットがまひした日　ターニングポイントとなった「Code Red」

鎌田　では次の質問は、サイバーセキュリティのキャリアの中で、最も印象に残っている事案は何でしょうか？

ジェフ　1つ選ぶのはとても難しいですが、1999年に発生したメリッサウイルス（Melissa Virus）、その後に発生したコードレッド（Code Red）の2つは1988年のモリスワーム以降、インターネットセキュリティの歴史のなかでも大きな事案です。モリスワームの事案が発生したときは、ほとんどの人がインターネットのことを知りませんでしたが、これら2つのは多くの人がインターネットを使うようになってから発生した初めての大きな事案です。

　これによって、インターネットがいかにビジネスにとって重要なツールとなったかということや、大規模なサイバーセキュリティ事案がビジネスに与える影響（主にコストの観点で）が浮き彫りになりました。そして、何よりも、この事案によって明らかになったのはわれわれがこの規模の事案に効果的に対処する十分な能力を持っていないということでした。

鎌田　私の場合、コードレッドのときは大学生で、自宅のサーバに大量にアクセスログが残っていてこれは何だろうと調べたのを覚えていますが、あのときは問題の大きさは理解できていませんでした。また、私が運用していたのはWindowsのサーバではなくLinuxだったのでWindowsのセキュリティの問題は影響ないだろうと考えていました。結局その後セキュリティの仕事をするようになるとは思っていませんでした。ちなみにジェフがその時に特に学んだことは何でしょうか？

ジェフ　その時に分かったのは企業の動きというものは一瞬で止まってしまうものだということです。普段使っている重要なコミュニケーション手段（電子メールやチャットなど）が止まってしまいました。最近の事例でいくとランサムウェアで同様のことが起こっています。ランサムウェアに対しては、インフラが使えなくなった時に、どういうコミュニケーション手段を使うのかということを考えておく必要があります。メリッサウイルスのときには、多くの企業のネット活動が停止してしまいましたが、CERT/CCは企業に情報を伝達する手段としてニュースメディアを通じて行いました。それまではインターネットが機能することを前提にしていました。

鎌田　他に記憶に残っている事案はいかがでしょうか？

ジェフ　2002年に発生したSNMPの脆弱性のときには、夜中にたたきき起こされました。そして、この脆弱性を引き起こしたコードがとんでもない数の製品で使われており、特にびっくりしたのは、農業用のトラクターまでもがこの脆弱性の対象だとわ分かったときでした。これは、サプライチェーンの脆弱性問題であり、IoTのセキュリティ問題の最初期の実例といえるでしょう。サプライチェーンの問題にいまだに悩まされていますが、これはサイバーセキュリティおいて私たちが直面する最も困難な問題の一つです。最近発生したSolarWindsの脆弱性の問題（幸いにも、日本では大きな影響が出ていないようですが）はサプライチェーンの問題の難しささを物語っています。

鎌田　サプライチェーンの問題脆弱性はあちこちで問題になっています。

ジェフ　これまで私たちは「セキュリティパッチを当てろ！セキュリティパッチを当てろ！」と言い続けてきました。しかしサプライチェーンの問題になるとそこまでシンプルな話ではありません。すでにセキュリティパッチを当てる努力をしている企業にとってはそれ以上に対応することがあります。

　パッチを当てるだけではなく、パッチの適用のプロセス自体も見直した方が良いでしょう。分かりやすい例を挙げましょう。自分が利用している製品のベンダー自身が侵入を受けてしまった場合、その製品経由で自社内に攻撃者が侵入することをどうやって検知すればいいでしょうか。製品自身がインターネットや自社ネットワークから切り離されているから大丈夫、というのであれば、どうやってログを集めて侵入されていることを検知できるでしょうか。

鎌田　自分自身のサイバー攻撃への事案対処経験の中で特に記憶に残っているようなストーリーはありますか？

ジェフ　政府機関において国家レベルのインシデント対応チームを作ったことです。その仕事では、政府機関の役人や、大使館の大使、国会議員、裁判官などと一緒に仕事をすることもありましたが、それぞれの事情に応じた最適解を導く手伝いをしました。また、国家のサイバーセキュリティ組織同士のコミュニティーを作りました。

　2000年代前半くらいに、いろいろな国の政府がサイバーセキュリティは経済的にも、国家安全保障の観点でも重要な話題だと気付いた頃が大きな転換点でした。よく覚えているのが、ホワイトハウスのシチュエーションルームで、”サイバー”に関する会議を政府高官としたときのことです。彼らはサイバーセキュリティの重要性を分かってくれました。

鎌田　ホワイトハウスのシチュエーションルームってテレビとかでたまに見かけるあれですよね。どんなところだったんですか？

ジェフ　思ったよりも小さいな、という印象があったかな。

鎌田　それは貴重な経験。自分も入ってみたいなあ。

著者プロフィール:鎌田敬介

Armoris取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからセキュリティの世界へ入る。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。