脆弱性情報共有フレームワークに関する調査

～中小規模組織における脆弱性対策促進への各国の取り組み～

2008年2月12日2008年2月12日

独立行政法人 情報処理推進機構

1

C t tContents1 調査の目的と概要1 調査の目的と概要

2 国内中小企業における情報セキュリティ対策23 英国のコミュニティ型情報共有スキーム(WARP）

欧州共通の情報共有システムの研究（ENISA）4韓国（KISA）の取り組みとアジアでの協力関係構築5

6 米国の脆弱性対策自動化の取り組み（SCAP）

調査まとめ

67 調査まとめ7

2

11 -１. 調査の目的

情報システムの脆弱性対策の必要性が顕在化情報システムの脆弱性対策の必要性が顕在化

国や大企業などの大規模組織と比して、市町村や国 業 規模組織 、市中小企業などの中小規模組織では、リソースの不足から取り組みに遅れ足

社会全体の情報セキュリティレベル向上のためには、中小規模組織への脆弱性対策の強化が必要中小規模組織への脆弱性対策の強化が必要

国内の中小規模組織の実態や外国における取り組み事例を調査することで、IPAが取り組むべき施策検討及び支援ツール開発を支援

3

11 -２. 調査概要(1/2)

調査の枠組み

（1）脆弱性関連情報の活用促進に関する取り組み調査→短期的な施策の検討

（2）脆弱性対策の自動化に関する取り組み調査（2）脆弱性対策の自動化に関する取り組み調査→長期的な施策の検討

脆弱性対策ﾌﾟﾛｾｽ 取り組みｽｷ ﾑ調査 簡易化･自動化ﾂ ﾙ開発脆弱性対策ﾌ ﾛｾｽ 取り組みｽｷｰﾑ調査 簡易化･自動化ﾂｰﾙ開発

脆弱性関連情報の収集

脆弱性チェック

脆弱性関連情報の活用促進に関する取り組み調査

脆弱性対策の自動化に脆弱性チェック

脆弱性対策の実施

脆弱性対策の自動化に関する取り組み調査

C （米 ）

WARP（英国）ENISA（EU）

国内中小規模組織

SCAP（米国） KISA（韓国）

脆弱性情報に関する国内中規模組織の実態と 海外の先進的取り組みを調査脆弱性情報に関する国内中規模組織の実態と、海外の先進的取り組みを調査（公開資料調査、ヒアリング調査）

4

11 -３. 調査概要(2/2)

調査対象組織

地域 機関・組織名 概要

国内

中小企業（A社） 情報セキュリティ関連のベンダ

中小企業（B社） 情報セキュリティ関連のベンダ国内 中小企業（B社） 情報セキュリティ関連のベンダ

地方自治体（C自治体） 市行政自治体

CPNI （Centre for the Protection of National 英国の政府機関、WARPモデルを

英国

（Infrastructure） 開発・推進

WMCWARP （West Midlands Connects WARP） WARPのコミュニティ運営組織

LCWARP （L d C t WARP） WARPのコミ ニティ運営組織LCWARP （London Connects WARP） WARPのコミュニティ運営組織

欧州ENISA （European Network and Information Security Agency）

EUの情報セキュリティ専門組織、EISAS研究プロジェクトを実施

韓国 KISA （Korea Information Security Agency） 韓国の情報セキュリティ政府機関

米国

NIST （National Institute of Standards and Technology）

米国の政府機関、SCAPを開発・推進米国 Technology） 推進

ThreatGuard SCAPツールを開発する民間企業5

22 -１.中小企業の定義と企業数

「中小企業基本法第 2条」による中小企業の定義「中小企業基本法第 2条」による中小企業の定義中小企業庁 「中小企業の企業数」中小企業庁 「中小企業の企業数」

●製造業/その他の業種：

従業員規模 300人以下又は資本金規模 3億円以下

●卸売業： 従業員規模 100人以下又は

大企業

11 793社 （0 3%）

企業数（全産業規模別）

●卸売業： 従業員規模 100人以下又は資本金規模 1億円以下

11,793社 （0.3%）

中規模企業

549,479社 （12.6%） ●小売業： 従業員規模 50人以下又は資本金規模 5,000万円以下

小規模企業

3,776,863社（87.1%）

中小企業は全企業の99 7%を占める

資本金規模 5,000万円以下

●サービス業： 従業員規模 100人以下又は資本金規模 5,000万円以下

中小企業は全企業の99.7%を占める出展：中小企業庁「中小企業の企業数・事業所数」に基づき作成

＜本調査報告の対象とした中小規模組織の定義＞＜本調査報告の対象とした中小規模組織の定義＞以下のいずれかの条件を満たす組織（中小企業等の民間組織、地方公共団体等を含む）を満たすものとする。－ 従業員数300人以下、資本金3億円以下の組織従業員数 、資本 億 組織－ 情報セキュリティを担当する専門部署や専門家を擁しない（または十分ない）組織）

6

22 -２. 中小企業の情報セキュリティ被害状況企業における情報セキュリティ被害の状況

トラブルの内訳トラブルの内訳

（％）0 20 40 60 80 100

情報セキュリティ上のトラブル経験の有無情報セキュリティ上のトラブル経験の有無

無回答

ｳｨﾙｽ・ﾜｰﾑ感染

ｼｽﾃﾑ破壊・ﾞ

0 20 40 60 80 100

81.580.9

27.629 9

経験経験した

無回答4.4% 無回答

7.1%

ｽﾊﾟﾑﾒｰﾙの中継利用等

ｻｰﾊﾞ停止13.614.1

9 8

29.9

32.4%

してない経験した

42.2%大企業 中小企業

ﾎｰﾑﾍﾟｰｼﾞ・ﾌｧｲﾙ改ざん

DoS攻撃 9.87.7

2.71.9

大企業中小企業

%

経験した

63.2%50 7

経験してない

ﾌｧｲﾙ改ざん 9 中小企業50.7%

情報セキュリティリスクは企業の大小に関わらず共通の課題

出展：経済産業省「平成17年 情報処理実態調査」に基づき作成

7

22 -３. 中小企業のセキュリティ対策(1/2)

情報セキュリティポリシ 策定状況情報セキュリティポリシ 策定状況

情報セキュリティ管理体制

情報セキュリティポリシーを策定している企業：大企業：56.1％、中小企業：31.3％

情報セキュリティポリシー策定状況情報セキュリティポリシー策定状況

10.82.1必要性を感じず未実施

大企業中小企業

0 80.6

13.517.2

44.324.6

10.8必要性を感じるが未実施

実施を検討している

トラブルを機に実施した

30.555.5

0.8

0% 20% 40% 60%

既に実施している

情報セキュリティ管理部門の配置状況情報セキュリティ管理部門の配置状況情報セキュリティ管理部門の配置状況情報セキュリティ管理部門の配置状況情報セキュリティ管理部門を配置している企業：大企業：56.3％、中小企業：37.8％

必要性を感じず未実施

必要性を感じるが未実施

大企業中小企業

27 88.4

3.0

必要性を感じるが未実施

実施を検討している

トラブルを機に実施した

55 90.60.4

11.213.1

42.727.8

既に実施している 37.255.9

0% 20% 40% 60%

出展：経済産業省「平成17年 情報処理実態調査」に基づき作成

8

22 -３. 中小企業のセキュリティ対策(2/2)

重要システム のアクセス管理実施状況重要システム のアクセス管理実施状況

情報セキュリティ対策の状況

大企業

重要システムへのアクセス管理実施状況重要システムへのアクセス管理実施状況

重要システムへのアクセス管理を実施している企業：大企業：70.2％、中小企業：45.6％

必要性を感じず未実施

必要性を感じるが未実施 33 016.7

10.63.0

大企業

中小企業

必要性を感じるが未実施

実施を検討している

トラブルを機に実施した0.5

10.910.1

33.0

トラブルを機に実施した

既に実施している 45.269.7

0.40.5

0% 20% 40% 60%

中小企業は情報セキュリティの管理体制や対策で遅れ

出展：経済産業省「平成17年 情報処理実態調査」に基づき作成

9

22 -４. 地方公共団体のセキュリティ対策

地方公共団体における情報セキ リティ対策状況地方公共団体における情報セキ リティ対策状況

情報セキュリティ対策の状況

地方公共団体における情報セキュリティ対策状況地方公共団体における情報セキュリティ対策状況

100 95 7100

100100 99.0 100（％） （％）

運営面での対応 技術面での対応

10093 9

60

80

100 95.7

77.080.6

68.1

60

80

100

51.161.2

93.9

0

20

40

0

20

40

13.6

31.3

0情報セキュ

ティ担当者

任命

アクセスロ

の保存

障害に関す

職員や住民

らの報告受

体制確立

職員へのセ

リティ対策

修実施

0サーバ及び

末へのウィ

対策実施

パターンフ

イルを定期

に更新

団体独自で

情報収集体

を構築

ュリ

者の

ログ

する

民か

受理

セキュ

策研

び端

ルス

ファ

期的

で体制

都道府県 市町村

都道府県に比べ小規模な市町村は情報セキュリティ対策に遅れ

出展：総務省 平成18年度「地方自治情報管理概要」に基づき作成

10

22 -５. 中小規模組織のセキュリティ対策

セキュリティベンダからの指摘

・ウィルス対策ソフト Windows Updateなど最低限の対策は比較的実施

情報

セキュリティ対策

・ウィルス対策ソフト、Windows Updateなど最低限の対策は比較的実施

・通常業務優先のため、セキュリティ対策は余裕がなく後回し

・情報セキュリティの具体的対策方法が分からず（脆弱性情報の確認なし）対策 ・WebサーバはVPNを使用していても外部アクセスを受けているため問題あ

り

・人員及び予算不足の要因から、セキュリティ管理体制は未整備人員・管理

体制

人員及び予算不足の要因から、セキュリティ管理体制は未整備

・情報システムはISPやレンタルサービスなど外部事業者へ委託

・システム構築はシステムベンダに依存しているので内部に適任人材なし

情報

・ファイアウォール、ウィルス対策ソフトなどのセキュリティ製品を導入さえすれば良く、継続的な運用管理は必要でないといった思い込み

・企業収益に直接影響を及ぼさないセキュリティ対策に関心を持つ余裕なしセキュリティに対する

意識

・企業収益に直接影響を及ぼさないセキュリティ対策に関心を持つ余裕なし

・「ベンダのWebサイトを参照すれば良い」、「スパムメールは削除すれば良い」、「問題が起きたときに対処すれば良い」といった多少楽観的な意識

当社は大丈夫 そもそも攻撃されるはずがな と た思 込み・当社は大丈夫、そもそも攻撃されるはずがないといった思い込み

11

22 -６. 中小規模組織の課題と方向性(1/2)

内的要因内的要因 外的要外的要

中小規模組織における課題

人員・時間的なリソースが不足し、外部に依存

内的要因内的要因 外的要因外的要因

脆弱性情報を収集するためには多種多様なサイトにアクセスすることが必要依存

最小限のセキュリティ対策に投資が限定リスクの大きさが見えにくく、情報セキュリティへの意識は低い

なサイトにアクセスする とが必要脆弱性情報は専門用語が多く、読解には専門知識が必要脆弱性情報は情報システムベンダが保有ティへの意識は低い

するが、ユーザに提供されにくい

セキュリティベンダのベストプラクティス

ヒアリング組織におけるベストプラクティスヒアリング組織におけるベストプラクティス

セキュリティベンダのベストプラクティス

コミュニティサイトを活用し、幅広い分野から多面的に情報収集タイムリーな情報更新・収集にプッシュ型のメール配信機能を活用利用者の理解促進に脆弱性深刻度を付加多種多様な情報をフィルタリング、利用者が必要とする情報を提供

12

22 -７. 中小規模組織の課題と方向性(2/2)

求められるソリューション

内的要因内的要因 外的要因外的要因

人員・時間的なリソースが不足し、外部に依存最小限のセキュリティ対策に投資が限定情報セキュリティの意識は低い

内的要因内的要因 外的要因外的要因

多種多様なサイトにアクセスすることが必要脆弱性情報の読解には専門知識が必要脆弱性情報はユーザに提供されにくい

資

• 多種多様かつ膨大な脆弱性情報を一元的に集約、必要な情報のみを利用者に向けて発信

経営資源配分という組織内部の課題（外部の介入困難）

求められるソリューション

利用者に向けて発信• 脆弱性の深刻度付与、技術・専門用語の解説• 脆弱性情報活用の習慣促進（セキュリティ意識向上のプロモーション）• 脆弱性の情報共有コミュニティの活用

外的環境（利用環境）の整備と、情報セキュリティ意識高揚の促進

ソリュ ション 脆弱性の情報共有コミュニティの活用• 脆弱性対策・管理の簡易化、自動化によるリソース支援

ヒアリング組織におけるベストプラクティスヒアリング組織におけるベストプラクティス

ミ テ サイトを活用 幅広く多面的に情報収集 利用者の理解促進に脆弱性深刻度を付加コミュニティサイトを活用、幅広く多面的に情報収集タイムリーなプッシュ型のメール配信機能を活用

利用者の理解促進に脆弱性深刻度を付加フィルタリングにより利用者が必要な情報を提供

13

22 -８. 支援ツールへの要望(1/2)

分散した脆弱性情報を集約し、一元的に中小規模組織に提供

支援ツールの開発

→中小規模組織における脆弱性情報の収集を簡易化

これら支援ツールの開発について、ヒアリングでは基本的に賛同との意見

情報発信者• 信頼性の高い情報発信機関

情報提供のあり方への要望

運営体制

情報発信者• ステークホルダ間に中立的及び権威ある立場（政府組織など）

情報受信者• セキュリティ意識（情報敏感性）が高い組織、またはサポート機関

（アウトソーシング／ASP事業者、自治体共同利用センタなど）制

調整機関の設置

• 修正プログラム適用の影響の検証機関が必要• 製品ベンダ横断型の検証・調整専門機関（企業団体など）の設置

情情報の提供• メールなどによる利用者に向けた情報配信型情

報の共有

情報の提供• 情報のプッシュ型による脆弱性情報活用習慣の促進

情報の共有• Web 2.0などの双方向コミュニケーション型による情報共有促進• 配信情報へのコメントや評価・システムへの影響などの情報共有

情報の高信頼性の確保、プッシュ配信、双方向の情報共有14

22 -８. 支援ツールへの要望(2/2)

支援ツールに求められる機能

セキュリティ専門

• セキュリティ専門用語（バッファオーバーフローなど）を、専門家がいない中小規模組織でも理解しやすい言葉に置換して配信

• 製品ベンダのWebサイトはセキュリティ専門用語での説明が多いたセキュリティ専門用語の置換

製品ベンダのWebサイトはセキュリティ専門用語での説明が多いため、利用する場合は分かりやすいコメントが必要

• 脆弱性情報、リスク情報などに分かりやすいコメント、ワンポイントアドバイス コンテンツなどを付加アドバイス、コンテンツなどを付加

情報提供フォーマット・フレーム

• 収集した情報の標準化

デ タベ スによる管理ワークの統一 • データベースによる管理

メ ル配信機能

• RSSで収集した脆弱性情報をメール配信

新着情報など情報更新時にメ ル通知メール配信機能 • 新着情報など情報更新時にメール通知

• 脆弱性の深刻度によるフィルタリング機能

理解しやすい言葉、情報の標準化、状況に応じタイムリーな配信15

33 -１. 英国の取り組みWARP

WARPとは 英国政府が推進する 中小自治体や中小企業の脆弱性対策を

WARP（Warning, Advice and Reporting Point）とは

情報源

WARPとは、英国政府が推進する、中小自治体や中小企業の脆弱性対策を促進するためのセキュリティ情報共有サービスのフレームワーク

情報源

WARP WARPC E R T

C E R T

CERTs

情報収集報告

中小企業

コミュニティメンバ コミュニティメンバ

中小自治体

情報収集報告

アドバイス情報脆弱性情報

オペレ タ

WARP中小自治体地方教育機関

脆弱性情報 セキュリティインシデント情報

オペレータ

CPNIWARP設立・運営支援

・セキュリティに関する警告やアドバイザリ インシデント情報をメンバ間で共有・セキュリティに関する警告やアドバイザリ、インシデント情報をメンバ間で共有・加入メンバのセキュリティ対策を支援する仕組み。CPNIがWARPモデルを開発、推進

16

33 -２. WARPの特徴

CERT WARP

CERTとWARPとの比較

CERT WARP

目的•セキュリティ事案がもたらす影響を

最小限に抑止

•セキュリティ事案発生件数の削減に

向けた未然防止活動

主な政府機 規模組織 規模組織

組

主な利用者

•政府機関、大規模組織 •中小規模組織

位置

•技術的専門家集団から構成された •地域およびメンバ密着型活動を展開する

知識活用 （相互扶助 自助努力組織

位置づけ

セキュリティ対策専門機関

•特定組織に特化した活動を展開

（多数のCERTが存在）

知識活用コミュニティ（相互扶助・自助努力型）

•地域、メンバに応じた幅広い運営形態数

運営面•高コスト型

•高スキル専門リソース

•ツール、Web、E-mail、電話、SMSなどを活用

した比較的低コスト型運営を実現

•低リソース（担当者1,2名）低リソ ス（担当者1,2名）

セキュリ

対策活

情報の活用

•独自に調査/収集/分析した情報

を提供

•公開された既知情報、メンバの経験・教訓を

収集/選別し、コミュニティ内で情報共有

（信頼関係を前提とする）リティ

活動

（信頼関係を前提とする）

対策•インシデントの処理、分析、現地

対応（支援含む）、調整活動

•コミュニティ内での経験・教訓を共有し、対策

に活用 17

33 -２. WARPの特徴

WARP名 設立 コミュニティ

WARPコミュニティの一覧（2007年8月時点）

WARP名 設立 コミュニティ

公共サービス

DSWARP 2006/6 英国南西部デボン州教育機関

IGWARP 2006/4 National Health Service (NHS)

NWEWARP 2006/1 英国北東部救急サービスNWEWARP 2006/1 英国北東部救急サ ビス

POLWARP 2005/1 イングランド・ウェールズ警察

EMGWAR 2006/6 英国東ミッドランド地域地方政府LCWARP 2003/4 ロンドン行政区

地方政府NWGWARP 2006/4 英国北西部地方政府SKWARP 2004/1 ケント州地方自治体

SWWARP 2007/5 英国南西部地方自治体

WMCWARP 2006/9 英国西ミ ドランド地域地方政府WMCWARP 2006/9 英国西ミッドランド地域地方政府

民間ANSWARP 2005/11 地方公共機関のAnite SwiftユーザBTRWARP 2006/2 BT RBS顧客、小規模ISP顧客NECWARP 2007/1 イングランド北東部商工会議所GUWARP 2004/6 系図学 サ テ

その他組織GUWARP 2004/6 系図学ソサエティ

RAYWARP 2006/4 アマチュア無線ソサエティ

海外 HIWARP 2007/5 日立インシデント対応チーム

WARPコミュニティの約7割(16設立中10組織)は府関係

WARPコミュニティの約7割(16設立中10組織)は公共サービスや地方政府関係

出展：WARP Webサイトによる。

18

33 -３. サービス提供モデル

WARPモデルが提供する3種類のサービス

Filtered Warning Service

・オペレータがセキュリティ関連情報をメンバに配信

・情報の種類は、各メンバが必要とする情報のみ選択可能

Service

Advice B k i

・メンバの経験に基づくベストプラクティス及びアドバイスなどを

メンバ間で情報共有Brokering Service

メンバ間で情報共有

・有効なセキュリティ対策をメンバ間で相互学習

メンバが経験した脅威及びセキ リティインシデントを匿名化Trusted Sharing Service

・メンバが経験した脅威及びセキュリティインシデントを匿名化

してレポーティング

・脅威に対する経験をメンバ間で相互学習Service 脅威に対する経験をメンバ間で相互学習

コミュニティメンバのセキュリティレベルを向上19

33 -４. Filtered Warning Service

CERTCERT CERT

CERT

CERT

CERT

必要な脆弱性情報のフィルタリング＆配信

フィルタリングカテゴリ選択

CERTCERT

CERT/CC 製品ベンダUS-CERT CSIRTUK

脆弱性関連情報を選別・収集

バ配信

カテゴリ登録

オペレータ緊急度、重要度別情報メンバ

メンバ

メンバ

FWAツール

配信

配信

脆弱性情報の配信

WARPメンバ

メンバ

ニュース配信

・WARPオペレータはメンバに必要なセキュリティ情報を選別・収集メンバはFWAツ ルを利用して 必要な情報カテゴリを選択・メンバはFWAツールを利用して、必要な情報カテゴリを選択

・重要事項についてはWARP NEWSにてメンバへ通知20

33 -５. Advice Brokering Service

メンバ間の情報共有、相互学習を支援

メンバ専用掲示板C E R T

---- -------------------- ----

参照オペレータ

------- ---- ------------- ----

セキュリティ関心事 質問

アドバイス提供

参

メンバ

関心事

経験アドバイス

質問

学習学習

WARP

メンバ

メンバメンバ

メンバ情報共有

相互学習情報共有

・メンバ専用掲示板を活用したボトムアップ型情報共有メンバ専用掲示板を活用したボトムアップ型情報共有・経験に基づくアドバイスなどをメンバ間で情報共有、相互学習

21

33 -６. Trusted Sharing Service

メンバによる事故情報の匿名レポート＆情報共有

WARPオペレータFiltered Warning Service

分析 第1ステップ

FWS、ABSから対応重点化が

Advice Brokering Service 必要なトピックスについて情報収集

WARPオペレータ WARPメンバ

NDA締結など第2ステップ

重要セキュリティ事案についてメンバにヒアリングを行い 具

ヒアリングメンバにヒアリングを行い、具体的なインシデント情報を収集

WARPオペレータ WARPメンバ

電子レポート 第3ステップ

情報を匿名化した上で、他のメンバにレポ トとして情報を配

ペーパーンバにレポートとして情報を配信し、ノウハウを共有

22

33 -７. WARPの課題

WARP設立・運用費用の課題

WARPは相互扶助

WARPの特徴WARPの特徴 阻害要因阻害要因

中小規模組織は経済的な余力がないWARPは相互扶助、自助努力型のコミュニティ

設立 運営の費用はメンバ自らで

中小企業は本業以外の費用負担に後ろ向きであり、WARPは自らのビジネスと関係が薄いといった意識営 体 な 商 会議所

影響

設立・運営の費用はメンバ自らで負担（運営費例：300ポンド/年※１）

営利団体ではない商工会議所ではWARPへの資金拠出が困難

中小規模組織におけるWARPの設立・運営資金の確保が困難

WARPの運営資金を拠出するためのビジネスモデルの創出（新たなスポンサ シップ 低コスト運営モデルの検討など）

課題１

中小規模組織におけるWARPの設立 運営資金の確保が困難

（新たなスポンサーシップ、低コスト運営モデルの検討など）

※１：WMCWARPの例では、小規模団体で300ポンド、大規模団体で900ポンドの年会費である

23

33 -８. WARPの今後の展開(1/2)

英国内外における積極的なプロモーション

英国

• CSIA Information Assurance Roadshow、各種カンファレンス等：一般向けのプロモーション

年 開催 興味 ある 向国内

• WARP Forum ：年1回開催。WARPに興味のある人向け

• WARP Operator Forum ：年4回開催。WARP運用者のミーティング（議長は既存のWARPから選出）（議長は既存のWARPから選出）

• CPNI ENISA（European Network and Information Security Agency）等

英国

• CPNI、ENISA（European Network and Information Security Agency）等による、国際カンファレンス、ワークショップ等での紹介

• WARP Forumにはリトアニア、オランダ、アイルランド、スイスからも参加国外• オランダでは2007年に政府後援により、学校を対象とするWARP実証

実験を実施

• 日立HIRTのWARP加盟• 日立HIRTのWARP加盟

24

33 -８. WARPの今後の展開(2/2)

WARP Trustプロジェクトの推進

CPNI

CPNI国家インフラ保護センタ 重要インフラ防

御に専念CPNI

CSIRTUK

国家インフラ保護センタCSIRTUK

調整統括機関の

御に専念

WARP WARP WARP

WARP Trust設置 中小規模組織支

援に専念

WARP WARP WARP

WARPWARP WARP

現状 WARP T 開始後現状 WARP Trust開始後

・WARP Trustは、個別のWARPコミュニティをまとめ統括WARP Trustは、個別のWARPコミュ ティをまとめ統括・WARPコミュニティ運営の効率向上、コスト低減、新規コミュニティの設立推進

25

33 -９. WARPモデルの国内適用の方向性

日本への情報共有フレームワーク導入の示唆と方策案

日本における中小規模組織向け情報共有フレームワーク導入への示唆

• 情報セキュリティ対策に関して利害を同じくする適切なコミュニティの形成情報セキュリティ対策に関して利害を同じくする適切なコミュニティの形成• セキュリティ意識が比較的高い業種などへの先行的な導入• ツールソフトウェア提供による低コスト型の運営の実現

先行的取り組みへの方策案先行的取り組みへの方策案先行的取り組み の方策案先行的取り組み の方策案

利害対立の少ない同一エリア自治体及び共同利用センタ、公共機関、教育機関、アウトソーシング事業者を対象とした情報共有スキームと支援ツール活用のパイロットモデルの構築より低廉なコスト運営に向けたシェアドサービス提供型運営体制構築によるコスト削減削減JVNに蓄積された脆弱性関連情報を活用した支援ツールの整備

26

44 -１. 欧州統一に向けた情報共有システムENISA

EISAS（European Information Sharing and Alert System）とは

背景背景EUの情報セキュリティ専門機関ENISAが実施した、欧州全域における多言語の中小規模組織向けの情報共有システムのフィージビリティスタディ

実施主体 ENISA

実施期間 2006年9月 2007年10月実施期間 2006年9月～2007年10月

リサーチチーム人員 ENISA研究員2名

サポート人員 CERTオペレータなどのエキスパート15名

プロジェクト予算 25,000ユーロ

27

44 -２. EISASプロジェクト発足と実行計画

欧州に広がる情報共有システム欧州に広がる情報共有システム背景背景

EISASの背景と計画

欧州に広がる情報共有システム欧州に広がる情報共有システム背景背景

●欧州各国間の情報セキュリティ対策の

欧州全域に広がる共有システム

合理的に相互補完レベルに格差／多言語対応の標準システムなし

欧州全域をサポートする多言語化システムの実現

合理的に相互補完統合または連携

●欧州各国の既存システムとの競合の可能性／既存シス

多言語化システムの実現

欧州全域セキュリティ意識の向上

計画計画

①EISAS研究成果を報告書に纏め 欧州委員会に提出

可能性／既存システムを包含した統一

システムなし

EISASプロジェクト

開始（2006年9月） ①EISAS研究成果を報告書に纏め、欧州委員会に提出

②欧州委員会にて今後の研究継続を諮問

欧州委員会

（2006年9月）

廃案欧州委員会で予算化からの要請

28

44 -３. EISASシナリオ検討の基本原則

•母国語を使用・ 容易に理解するためには自国の母国語使用が必要

• 分かりやすい言葉を使用分 言葉 使用・ 難解な技術用語を避け平易な言葉および表現を用いること

• 快適な利用環境快適な利用環境・ 使いやすいインタフェースおよび操作性

• 利用者に近接利用者に近接・ 近いところから情報を配信することで信頼性を高めること

• 情報過多を回避• 情報過多を回避･ 多すぎる情報量や情報の重複を避けること

既存システムと競合せず• 既存システムと競合せず・ 既存システムを活用しリソースの有効活用を図ること 29

44 -４. シナリオの評価および分析（1/4）

シナリオ１：欧州多言語Webリンクポータル

EISAS多言語Webサイト 選定された情報源へのリンク

基本原則 評価

母国語を使用 ○

わかりやすい言葉を使用 ×

基本原則 評価

利用者に近接 ×

情報過多を回避 ×わかりやすい言葉を使用 ×

快適な利用環境 ○

情報過多を回避 ×

既存システムと競合せず ×

・各国のセキュリティポータルサイトへの多言語リンクシステム 高コスト・各国のセキュリティポ タルサイトへの多言語リンクシステム、高コスト・各国の既存のイニシアティブとの競合可能性大

出展：ENISA「Presentation on the Draft Feasibility Study on EISAS」による。

30

44 -５. シナリオの評価および分析（2/4）

シナリオ２：欧州セキュリティ情報集約型システム

集中処理 EISASサーバ＆Webサイト（英語のみ）

選定された情報源

他のISAS（Information Sharing and Alert System）

基本原則 評価

母国語を使用 ×

わかりやすい言葉を使用 ×

基本原則 評価

利用者に近接 ○

情報過多を回避 ○わかりやすい言葉を使用 ×

快適な利用環境 ○

情報過多を回避 ○

既存システムと競合せず ○

・各国のセキュリティポータルサイトの情報を集約するが、英語のみに対応

出展：ENISA「Presentation on the Draft Feasibility Study on EISAS」による。

31

44 -６.シナリオの評価および分析（3/4）

シナリオ３：セキュリティ情報集約型多言語システム

EISAS中央サーバ

選定された情報源EISAS

多言語Webサイト

欧州センサーネット

基本原則 評価

母国語を使用 ○

わかりやすい言葉を使用 ○

基本原則 評価

利用者に近接 ×

情報過多を回避 ○わかりやすい言葉を使用 ○

快適な利用環境 ○

情報過多を回避 ○

既存システムと競合せず ×

・各国のセキュリティポータルサイトおよびセンサーネット情報の集約・各国のセキュリティポ タルサイトおよびセンサ ネット情報の集約・多言語ポータルサイトは既存システムと競合

出展：ENISA「Presentation on the Draft Feasibility Study on EISAS」による。

32

44 -７.シナリオの評価および分析（4/4）

ご バ 国ごとのサ バ

シナリオ４：国別セキュリティ情報集約型Webポータル

国ごとのサーバ＆Webサイト

国ごとの集中処理

国ごとのサーバ＆Webサイト

国ごとの集中処理

他のISAS

国ごとの集中処理

他 ISAS

国ごとの集中処理

国ごとのサーバ＆Webサイト

他のISAS

他のISAS ＆Webサイト

国ごとの集中処理

基本原則 評価

母国語を使用 ○

わかりやす 言葉を使用 ○

基本原則 評価

利用者に近接 ○

情報過多を回避わかりやすい言葉を使用 ○

快適な利用環境 ○

情報過多を回避 ×

既存システムと競合せず ○

・シナリオ２の各国版Webシステムを構築・シナリオ２の各国版Webシステムを構築・国ごとの処理のため情報の重複が発生

出展：ENISA「Presentation on the Draft Feasibility Study on EISAS」による。

33

44 -８. 最終シナリオの評価および分析

EUナレッジ

最終シナリオ

ごと 集中処理

ナ ッジ

国ごとの集中処理

国ごとの集中処理

中央情報ストレージ

国ごとの集中処理

選定された情報源

集中処理

EISAS国別システム

基本原則 評価

母国語を使用 ○

わかりやすい言葉を使用 ○

基本原則 評価

利用者に近接 ○

情報過多を回避 ○わかりやすい言葉を使用 ○

快適な利用環境 ○

情報過多を回避 ○

既存システムと競合せず ○

・欧数全域の情報収集／分析を集中して実施・欧数全域の情報収集／分析を集中して実施・加盟国の要求に応じてENISAが開発及び維持支援（EUナレッジ）

出展：ENISA「Presentation on the Draft Feasibility Study on EISAS」による。

34

44 -９. 今後の展開とアジアにおける可能性

今後の展開

EISASプロジェクトの最終報告は2007年12月に公表予定

報告書は欧州委員会へ提出、評価され、次のステップの活動が決定

アジアにおける多国間情報共有システムの可能性

現在は、情報セキュリティ対策はアジアでは国ごとの取り組み

多国間情報の共有システムを構築、導入することにより、アジア地域多国間情報の共有システムを構築、導入することにより、アジア地域全体の情報セキュリティ対策の向上と効率化を実現することが可能

日本としてはアジア各国と協力して、アジア共通の情報共有システム日本としてはアジア各国と協力して、アジア共通の情報共有システムの検討にリーダーシップを発揮していくことが必要

EISAS及び欧州におけるセキュリティ情報共有化の動向を今後も継続欧州 け キ リテ 情報共有 動向を今後 継続的に注視していくことが重要

35

55 -１. 韓国情報セキュリティ体制

KISA（Korea Information Security Agency；韓国情報保護振興院）

大統領

バ 安全戦略会議

国家安全保障会議(NSC)事務局

国家サイバー安全対策会議

国家サイバー安全戦略会議

国防部（MND） 国家情報院（NIS） 情報通信部（MIC）

＜国防部門＞ ＜国家・公共部門＞ ＜民間部門＞

国防部（ ） 国家情報院（ S） 情報通信部（ C）

国防情報戦対応センター国家サイバー安全センター

（NCSS)情報保護振興院（KISA)

ｲ ﾀ ﾈ ﾄ侵害事故対応ｾ ﾀｲﾝﾀｰﾈｯﾄ侵害事故対応ｾﾝﾀｰ（KR-CERT)

KISAはMICの下にあって、民間部門を管轄する情報セキュリティ推進機関

出展：KISAよりの入手資料

36

55 -２. KISAのセキュリティ強化施策

① 脆弱性の分析評価- 主要な情報通信インフラの脆弱性の分

析 評価を定期的に実施情報

セキュリティ

① 脆弱性の分析評価析・評価を定期的に実施

② 情報セキュリティ安全診断制度（ISCS：Information Security Check S i ）

- ISP、IDC等の大手事業者に対し、安全診断を実施ティ

水準の監査

Service）断を実施

③ 情報セキュリティ管理体制（ISMS：Information Security M t S t ）の評価制度

- 民間企業対象の有料の評価制度であるが参加は任意Management System）の評価制度 が参加は任意

④ KISC（Korea Internet Security Center）- 民間向けインターネット侵害事故対応の

専門組織

その他の

情報

⑤ KSRC（Korean Spam Response Center） - スパムメールによる被害の対策を実施

⑥ KISEC（Korea IT Security Evaluation Center）

- 情報セキュリティ評価認証制度によりセキュリティ関連製品を評価

セキュリティ

対策

Center） キュリティ関連製品を評価

⑦ Privacynet - 個人情報保護に対応するセンタ

⑧ KCAC（Korea Certificate Authority C l）

- 電子署名の認証センタCentral）

電子署名の認証センタ

⑨ KNBTC（Korea Network Biometric Test Center）

- バイオメトリックシステムの評価、開発推進 37

55 -３. 韓国のセキュリティ対策状況

韓国情報セキュリティ調査

情報システム投資に対する セキュリティ投資額の割合

40

45

46.7

42.0 なし 1％未満 1～3％

情報システム投資に対する、セキュリティ投資額の割合投資率（%）

30

35

40

31.8 32.9

25 7

33.5

26 7

3～5％ 5～7％ 7～10％

10％以上

15

20

2525.7

16.917.8

24.126.7

5

10

15

3.20 9

3.10 7

4.92.2 2.3

0 6

11.5

6.86.6 6.2

1 3

8.3

12.3

3.5 4.8

05～9 10～49 50～249 250以上

0.9 0.702.2

0.6 1.3

従業員数（人）

・韓国の従業員50人以下の中小企業の40％は情報セキュリティ投資なし

出展：KISAよりの入手資料

38

55 -４. 中小企業のセキュリティ強化施策

KISAが推進する取り組み

KISAの中小企業向け情報セキュリティ施策KISAの中小企業向け情報セキュリティ施策

中小企業向けの情報セキ リテ

ツールを用いた ユーザサイトでの情報セキュリティ

ガイドラインの作成・配布

ツ ルを用いた情報セキュリティの

評価・検証

ザサイトでの情報セキュリティ点検

の実施

中小企業の情報セキュリティレベルを向上

今後取り組むべき中小企業向けセキュリティ施策今後取り組むべき中小企業向けセキュリティ施策

「ベンチマーク」システムの

Webサービス中小企業のシステムの

利用促進中小企業の

セキュリティレベル向上

中小企業の情報セキュリティレベルの一層の向上39

55 -５. アジアにおける日韓連携の方向性

日韓の協力による脆弱性情報共有システムの可能性

具体的なアクション（案）KCVE JVN

韓国脆弱性情報 日本脆弱性情報

•両国におけるツールの普及情報共有

KISA IPA

両国におけるツ ルの普及促進

•相互情報共有

•APEC、その他アジア諸国

翻訳 翻訳

APEC、その他アジア諸国への働きかけ（ODAの活用も視野）

情報提供 情報提供

韓国企業 日本企業

・日韓脆弱性情報の共有に向け、データベース標準化の整備・多言語翻訳システムの検討 40

66 -１. 米国：脆弱性対策の自動化SCAP

SCAP(Security Content Automation Protocol)とは

SCAP とは 米国でNIST （N ti l I tit t f St d d d T h l ：国SCAP とは、米国でNIST （National Institute of Standards and Technology：国立標準技術研究所）を中心に、政府省庁を対象とした情報セキュリティ管理の技術面での自動化と標準化を規定した仕様／規格

技術的

コンプライアンス

• ハイレベルなコンプライアンスに従ったセキュリティポリシーをローレベルなセキュリティ設定に関連付け

コンプライアンス

管理の自動化• セキュリティチェックリストを情報システムに適用し、その結果、セキュリ

ティポリシーを満たしていないデバイス及び設定を確認

脆弱性管理

• ソフトウェアの脆弱性情報及びシステム構成に起因するセキュリティをクするため クリ トを提供脆弱性管理の

標準化

チェックするためのチェックリストを提供

• セキュリティチェックリストを情報システムに適用し、その結果、脆弱性の対策を必要とするかを確認

セキュリティ

対策の実施

• セキュリティチェックリストを使い、セキュリティ基準未満または、脆弱性を持つデバイスの存在を確認することで、セキュリティ対策を実施。設定を適切な値に修正するファイルが提供されていれば、自動的に対策を行う事も対策の実施可能

41

66 -２. SCAPの標準仕様

脆弱性の管理情報として６つの標準仕様を採用

No.

標準仕様依頼元

開発 役割

1CVE

DHS MITREソフトウェア脆弱性情報の標準化

1（Common Vulnerabilities and Exposures）

DHS MITRE（ID管理と辞書化）

2CCE

（Common Configuration Enumeration）DoD MITRE

セキュリティ構成情報の標準化（ID管理と辞書化）（Common Configuration Enumeration） （ID管理と辞書化）

3CPE

（Common Platform Enumeration）

DoDMITRE

製品情報の標準化（ID管理と辞書化）

XCCDF

4

XCCDF

（EXtensible Checklist Configuration Description Format）

NSA NSA チェックリストの指定と評価結果レポート作成手続きの標準化

OVAL

5

OVAL

（Open Vulnerability Assessment Language）

DHS MITRE 脆弱性チェック手続きの標準化

CVSS 脆弱性レベルの標準化（深刻度6

CVSS

（Common Vulnerability Scoring System）NIAC FIRST

脆弱性レベルの標準化（深刻度の付与）

42

66 -３. SCAP推進の背景

SCAPの目的

脆 性発生件数 増加脆 性発生件数 増加

コンプライアンス管理の複雑化コンプライアンス管理の複雑化

脆弱性発生件数の増加脆弱性発生件数の増加

セキュリティ対策の課題セキュリティ対策の課題

• 情報システムに対するセキュリティ対策の負荷増大

手作業による膨大な設定変更による設定ミスの発生• 手作業による膨大な設定変更による設定ミスの発生

• 設定者のセキュリティ知識の程度、判断の相違などからセキュリティが損なわれる可能性

SCAPの目的

NISTはセキュリティ対策の自動化を標準化したSCAP開発を開始

• 組織のコンプライアンス評価：複雑なコンプライアンス管理の簡素化、自動化

• 組織における脆弱性の管理：脆弱性に当てはまるデバイスの有無を把握

• 情報システムの脆弱性対策：脆弱性チェック結果よりセキュリティ対策を実施情報システムの脆弱性対策 脆弱性チ ック結果よりセキュリティ対策を実施（脆弱性対策のための修正プログラム適用の自動化は対象外）

43

66 -４. 省庁横断的取り組みISAPとSCAP

ISAP（Information Security Automation Program）とは

・各政府省庁がこれまで行ってきた取り組み連携と仕様の調整を行う場

DHS

NSA(XCCDF)

各政府省庁がこれまで行ってきた取り組み連携と仕様の調整を行う場・SCAPは、各取り組みの技術面での調整結果の位置づけ

(OVAL, CVE, CVSS)DHS

(OVAL, CVE, CVSS)

(XCCDF) OSD(NVD、スポンサ)

ISAPISAP参画

参画参画

•情報セキュリティ担当政府機関の代表者による標準化（互換性確保）の推進各省庁間の連携促進

( 、NIST

(FIPS、SPシリーズ、checklist) (NVD,VMS6.0)

DISA(NVD,VMS6.0)

ISAPISAP参画

参画

参画

•各省庁間の連携促進

SCAP（担当：NIST、DHSスポンサー）

調整結果の反映（技術面での更新） 各技術仕様間の調整 体系化・調整結果の反映（技術面での更新） ・各技術仕様間の調整、体系化

44

66 -５. SCAPの推進体制

組織名 役割

DHS（国土安全保障省）

NIST（国立標準技術研究

ISAP推進、SCAP、OVAL開発の資金援助

NVD、ｾｷｭﾘﾃｨ構成ﾁｪｯｸﾘｽﾄﾘﾎﾟﾘﾄｼﾞの開発・運営

政府機関

所）NSA（国家安全保障局）

DISA（国防情報ｼ ﾑ局）

XCCDFの開発・運営ｾｷｭﾘﾃｨｶﾞｲﾀﾞﾝｽ及びｾｷｭﾘﾃｨｺﾝﾃﾝﾂ開発

STIG及び ｸﾘ ﾄ 開発DISA（国防情報ｼｽﾃﾑ局）

OSD（国防総省内部部局）

STIG及びﾁｪｯｸﾘｽﾄｺﾝﾃﾝﾂの開発Gold Disk及びVMS Researchの開発

ISAPの資金援助

非営利団体

DoD（米国国防総省）

FIRST

CCE、CPE開発の資金援助

CVSSの開発・運営非営利団体

民間組織

MITRE社

ThreatGuard社

の開発 運営

CVE、CCE、XCCDF、OVALの開発・運営

SCAPﾂ ﾙ開発ThreatGuard社

Secure Elements社

SCAPﾂｰﾙ開発

SCAPﾂｰﾙ開発45

66 -６. コンプライアンス管理の自動化

コンプライアンス要求事項とシステム設定を関連付ける

ベンダ NIST DISA STIGNSA guide

ことにより自動化を実現

コンプライアンス要求事項

ガイド SPシリーズ Gold/PlatinumNSA guide ハイレベル

要求事項

XCCDF XCCDF XCCDF XCCDF

・・・・・・・・・・・・

・・・・・・・・

・・・・・・・・

・・・・・・・・・・・・

・・・・・・・・

・・・・・・・・

・・・・・・・・・・・・

・・・・・・・・

・・・・・・・・

・・・・・・・・・・・・

・・・・・・・・

・・・・・・・・

SCAPチ ク

SCAPチ ク

関連付け

・・・・・・・・

・・・・・・・・

・・・・・・・・

・・・・・・・・チェック

リストチェックリスト

SCAPツール

SCAP

OVAL OVAL OVAL OVALレジストリ

参照

チェック結果取得

関連付け

情報システム 情報システム 情報システム 情報システム

ローレベル設定

46

66 -７. SCAPの自動化スキーム

NVDの標準化とSCAPの脆弱性対策の自動化スキーム

・Threat Guard・Secure Elements

ツール開発ベンダ 製品ベンダ

脆弱性管理部門

脆弱性管理情報

CVE

ソフトウェアバグの識別情報

チェックリスト開発部門

①脆

ユーザ

CVE

MITRE

グの識別情報

設定ミスの

ツールダウンロード

④

脆弱性管理

②脆弱性情報の登録

③SCAPチェックリスト登録

チェックツール

XCCDF NVDチェックリス

ト

CCE

MITRE

設定ミスの識別情報情

報の参照

報の登録クリ 登録

XCCDF

OVAL

NVD脆弱性情報

ト提供サイト

CPE

NSA

製品情報チェックリストダウンロード

④照／識別番②脆弱性情

NIST

CVSS

US-CERT

番号登録

②脆弱性情報の登録

CVSS

FIRST

深刻度情報

FIRST

脆弱性情報データベース

47

66 -８. SCAPの課題と今後の活動計画

SCAPチ クリストに対するセキ リティ問題

課題

SCAPチェックリストに対するセキュリティ問題

• 現状のSCAPチェックリストはNISTに承認されたものであるかを認証する仕組みがなく、チェックリストを悪用（偽のチェックリスト）される可能性あり組みがなく、チェックリストを悪用（偽のチェックリスト）される可能性あり→NISTはチェックリストにデジタル署名を付け、SCAPツールで認証を有効にする機能を計画

チ クリスト公認プロセスの見直し

今後の活動計画

チェックリスト公認プロセスの見直し･ チェックリストがNVDを参照しているか検証を実施予定SP800-53のコンプライアンス管理の自動化

・ 全163項目のセキュリティ管理策のうち手動で確認する必要がある93項目の自動化を推進SCAPの普及促進

・ 現在のSCAPはベータ版で、今後バージョン１を開発予定。普及拡大狙い

48

66 -９. 日本への自動化の適用可能性(2/2)

自動化実現に向けた課題

統一的なセキュリティスタンダードの設定

日本独自のソフトウェアを含む製品情報の標準化

自動化システムの利用促進に向けた環境整備動 利用促 向 環境 備

教育及び啓蒙活動の推進

・SCAPによる脆弱性対策の自動化はまだベータ版であり、日本でも自動化機能を全て実現することは不可能でも自動化機能を全て実現することは不可能

・自動化システムの導入に向けた環境整備を進めると同時に、米国のSCAP導入状況を注視することが必要

49

66 -１０. 脆弱性対策関連情報の活用に関する技術動向

脆弱性管理ツールへの修正機能の実装設定ミスや脆弱性のチェックのみならず、修正を行うツールも登場

技術動向

脆弱性対策関連情報に係る呼称・記述言語／フォーマットの標準化ログ情報や脆弱性情報など、様々なシステムやベンダが発信する脆弱性対策関連情報の相互参照を可能にし 標準対応の管理ツールによるチェックや

CWE ツールでツールで

策関連情報の相互参照を可能にし、標準対応の管理ツールによるチェックや対策の実施・自動化促進へ

【呼称】脆弱性管理

脅威／攻撃管理 CCECME

CWECVE

OVALCEE

ツールでの読込

ツールでの読込

CWE: Common Weakness EnumerationCVE: Common Vulnerability EnumerationCCE: Common Configuration EnumerationCPE: Common Platform EnumerationCME: Common Malware Enumeration管理

コンフィグ管理

CCECMECAPEC

XCCDF/CRFOVRL

OVALCVSS

CEE CME: Common Malware EnumerationCAPEC: Common Attack Pattern Enumeration and Classification【記述言語／フォーマット】OVAL: Open Vulnerability and Assessment LanguageOVRL

ツールでの読込

LanguageOVRL: Open Vulnerability and Remediation LanguageXCCDF: Extensible Configuration Checklist Description FormatCRF: C R lt F tCPE

コンプライアンス管理資産管理

【脆弱性対策関連情報に係る標準の対象分野と策定状況】

CRF: Common Result FormatCEE Common Event Expression

※CEE、OVRLはコンセプト段階 50

77 -１. 今後の取り組み施策(1/2)

取り組みの方向性

脆弱性情報の収集に係るプラットフォームなどの環境整備

脆弱性情報の集約、一元化、専門用語を除いた平易な情報提供を行うなど、中小規模組織にとって脆弱性情報を取り扱いやすく提供

中小規模組織の情報セキュリティに対する認識向上を促進

海外においても、中小規模組織に焦点を当てた情報セキュリティ対策の取り組みはまだ途上段階

日本が世界水準の情報セキュリティレベルを維持するためには、この段階から海外と同時進行で取り組んでいくことが必要この段階から海外と同時進行で取り組んでいくことが必要

海外の先行事例から取り込むべきところは取り込んで、キャッチアップしていくことが必要アップしていくことが必要

51

77 -２. 今後の取り組み施策(2/2)

今後取り組むべき施策

取り組むべき施策

脆弱性情報の入手を簡易化する支援ツールの開発

短期的

脆弱性情報の入手を簡易化する支援ツ ルの開発

中小規模組織の情報システムをサポートする事業者向け情報提供の強化け情報提供の強化

中小規模組織へ脆弱性対策の必要性をプロモーション

長期的

支援ツールの拡充による脆弱性対策の自動化の検討

中小規模組織自らが取り組むコミュニティモデルの可能長期的 中小規模組織自らが取り組むコミュニティモデルの可能性の検討

アジア圏を中心とする多国間の情報共有モデルの検討アジア圏を中心とする多国間の情報共有モデルの検討

52