HIRT-PUB07007：諸外国のセキュリティコミュニティの形 －英国のWARPとは？

更新日：2007年9月11日

私たちが日々使っているコンピュータのセキュリティ。一組織での対応が困難であれば、協力し合って解決するというアプローチはどうでしょう？
HIRTも参加している、英国発祥のこうしたセキュリティコミュニティの仕組みであるWARPについて紹介します。

近年、ID詐欺やWebサイトを人質とした脅迫行為など、サイバー攻撃を金銭的利益の取得手段として用いるサイバー犯罪の経済活動化や、攻撃ツールの普及などに伴い、迅速な脆弱性対策やインシデント対応がますます重要になっています。同じような課題を有する組織同士が情報や経験を共有し、協力して問題の解決に取り組んで行くことも必要です。 こうした活動の例には、インシデント対応チームの国際コミュニティであるFIRST（*1）や、国内では2007年4月に発足した日本シーサート協議会（*2）があります。

今回は、英国政府が支援しているセキュリティコミュニティであるWARPについて紹介します。

WARPを意訳するとすれば、「セキュリティ情報、相互アドバイスと、インシデント情報の共有によるセキュリティ対策推進のための互助コミュニティ」です。WARPは地方自治体や中小企業などにおけるセキュリティ対策の向上を目的のひとつとし、2002年に英国政府機関NISCC（*3）によって提唱されました。

WARPは、個々の組織が集まって作るWARPコミュニティと、WARPコミュニティが集まって作るWARPオペレータフォーラムから構成されています。

WARPコミュニティ

WARPコミュニティは、個々の組織（WARPメンバ）が集まって小規模な共同体を形成したものです。コミュニティでは、セキュリティについてある程度の知見を有する運営者（WARPオペレータ）の下、脆弱性情報やベストプラクティス情報の入手、アドバイスの交換、インシデント情報の共有、セキュリティ対策の推進等に取り組みます。オペレータ職は、メンバ組織に適切な人材がいれば協力を募ったり、外部の人材を雇うなど様々です。コミュニティとしてセキュリティに明るい人材を共有することで、コストを分散させつつ利益は等しく享受することができ、小規模な共同体でもセキュリティを改善することができます。

この「小規模さ」はWARPコミュニティの特徴のひとつと言えます。ひとつのWARPコミュニティに所属するメンバの数は、大体30（～70）くらいが目安になっています。これによって、メンバ同士の信頼感を育てやすくし、また、オペレータが各メンバのニーズに対応できるようにしています。

WARPオペレータフォーラム

WARPオペレータフォーラムは、各WARPコミュニティのオペレータをメンバとし、WARPコミュニティ同士の情報共有と連携、コミュニティに共通する問題の解決を推進します。ひとつのコミュニティの中だけでなく、コミュニティ同士が連携することによって情報共有の機会が広がり、より多くの経験から学び、リソースとして活用することができるようになります。

WARPコミュニティの活動は、大きく３つの活動から構成されています。

セキュリティ情報の共有

セキュリティ情報を効率的に活用するには、コミュニティの中で各メンバにとって必要なセキュリティ情報だけが配信されるのが望ましいことです。 WARPコミュニティでは、このようなセキュリティ情報の共有を推進するために、Filtered Warnings Serviceという考え方を取り入れたセキュリティ情報の配信を進めています。
このFiltered Warnings Serviceとは、各メンバにとって必要なセキュリティ情報、例えば使用しているOSやアプリケーションなどをメンバのプロファイルとして登録しておくことで、オペレータがメンバにとって必要な情報を把握するのを助け、各メンバに直接関係のある脆弱性情報やパッチ情報のみを配信し、メンバが効率的にセキュリティ対策に対応できるよう支援するものです。 具体的にはFiltered Warnings Application（FWA）というソフトウェアを利用して実現しています。 FWAは、WARPコミュニティで利用できるようにCPNI（*3参照）が開発したもので、メンバはWebポータルを通じてプロファイルを登録し、オペレータは管理画面から情報の編集・配信ができるようになっています。

相互アドバイス

コミュニティの利点のひとつは、他のメンバの知識や経験をリソースとして共有できることです。自分だけでは解決できない問題でも、他者が解決方法を知っていたり、アイデアを出し合うことで解決策が見えてくることがあります。
WARPでは、こうしたアドバイスの交換を推進する仕組みとして、メンバのみに閲覧・書き込みが許可された専用掲示板などが使われています。

インシデント情報の共有

セキュリティに100%はありません。起こってしまったセキュリティインシデントは、原因を突き止め、再発防止に取り組むことで、セキュリティの向上につなげることが重要です。
こうしたインシデント情報をコミュニティの中で共有すれば、他者の教訓からも学ぶことができ、無用のリスクを回避することも可能になるなど、コミュニティメンバにとって相互の利益となります。この際に、インシデント情報を共有する組織が、情報の提供によって不利益を被らないようにすることも非常に大切です。
WARPでは、こうしたアドバイスの交換を推進する仕組みとして、メンバのみに閲覧・書き込みが許可された専用掲示板などが使われています。

WARPでは、インシデント報告用にセキュアなオンラインフォーム等を用意し、内容は匿名で他のメンバと共有されるのが一般的です。また、コミュニティとして定期的にメンバ同士が交流を持つ場を設け、メンバ間の信頼関係を育成し、情報を共有しやすい環境の整備を目指しています。

HIRTでは、これまで、FIRSTや日本シーサート協議会への参加など、他のセキュリティコミュニティと連携し、日立グループ全体でのインシデント防止と迅速な対応を可能にすることで、お客様の情報システムを脆弱性やインシデントから守り、広くはインターネットのセキュリティ向上に貢献しようと取り組んできました。 こうした取り組みの一環として、日立グループの拠点がある英国のセキュリティコミュニティとの連携拡大、また、WARPコミュニティでの活動をHIRTの活動の中でも活かせるのではないかと考え、2007年5月、HIRTはWARPに加盟しました。

表１：既存WARPコミュニティ一覧

*1

Forum of Incident Response and Security Teams。コンピュータインシデント対応チームの国際コミュニティ。

http://first.org/

*2

日本コンピュータセキュリティインシデント対応チーム協議会。国内6つのインシデント対応チームによって、組織横断的にコンピュータセキュリティに対応するべく協力していくことを目的に、2007年4月に発足したコミュニティ。

https://www.hitachi.co.jp/New/cnews/month/2007/04/0417.html

*3

National Infrastructure Security Co-ordination Centre。2007年2月にNSAC（National Security Advice Centre）と統合し、現在はCPNI（Centre for the Protection of National Infrastructure）となっています。

http://www.cpni.gov.uk

 

参照URL：WARPウェブサイト 　http://www.warp.gov.uk

岡下/HIRT, 大西/HIRT