インドネシア訪問記 ~Everybody Can Hack & Id-SIRTII/CC~
こんにちは。早期警戒グループの福本です。
2月25日から26日にかけてインドネシアで開催されたEverybody Can Hackという技術イベントで、同グループの戸田とともにゲストスピーカーとして講演してきました。今回はそのイベントの様子と、あわせて訪問したId-SIRTII/CCとJPCERT/CCとの協力関係についてご紹介します。
Everybody Can Hack
Everybody Can Hackは、ジャワ島西部の都市デポック(Depok city)に位置する情報工学系の私立大学Sekolah Tinggi Teknologi Terpadu Nurul Fikri (ヌルル・フィクリ総合技術大学、以下 STT-NF)がIdNSA(インドネシア・ネットワーク・セキュリティ協会)と共同で開催している技術セミナーシリーズです。2017年に第1回が開催されており、今回は1年越しにして2回目の開催となりました。
今回私たちはインドネシアのNational CSIRTであるId-SIRTII/CCに招待いただき、このEverybody Can Hackでインドネシアのモバイルアプリ開発者に向けてAndroidアプリのセキュア・コーディングに関するワークショップを行いました。
JPCERT/CCではおよそ15年前からソフトウェアの脆弱性情報を適切に流通させる活動を続けていますが、すでに生まれてしまった脆弱性について注意喚起するだけではなく、脆弱性を作り込まないためのセキュア開発手法について情報発信することも重要な活動であると位置づけています。そのため、さまざまな関連組織との協力の下、セキュア開発についての情報交換やセミナーの実施といった活動を日本のみならず世界各国で行っています。今回のEverybody Can Hackでの講演も、こうした国際連携活動の一環です。
今回私たちが実施したのは、Androidアプリを作る際に注意すべきフレームワークの特性や危険な実装の事例などを、ときにデモを交えながら伝える講義形式のワークショップです。計4時間におよぶ長いワークショップにもかかわらず、多くの参加者が熱心に耳を傾けてくれました。
また、今回のEverybody Can Hackは、主催者であるSTT-NFの学内CSIRT(NF-CERT)の立ち上げイベントも兼ねていました。インドネシア国家サイバー暗号庁(BSSN)やインドネシア国立大学、またSTT-NFの所在地であるデポック市政府の関係者らも出席し、オープニングセレモニーが催されました。近年、日本においても多くの企業や大学でCSIRTが立ち上げられていますが、ここインドネシアでも同様に、大小さまざまな組織でCSIRTが誕生し、組織間の協力体制が整えられつつある状況が見てとれました。
Id-SIRTII/CC 訪問
Everybody Can Hack でワークショップを実施した翌日、ジャカルタ市内にあるId-SIRTII/CCを訪問しました。
Id-SIRTII/CC(Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center)はインドネシアのNational CSIRTであり、JPCERT/CCとはともにアジア太平洋地域のCSIRT連携の枠組みであるAPCERTの一員として以前よりさまざまな形で協力関係を築いています。
JPCERT/CCとId-SIRTII/CCの協力関係の一例として、TSUBAMEプロジェクトが挙げられます。TSUBAMEはJPCERT/CCが主体となりアジア太平洋地域を中心に世界各地のCSIRTの協力のもとで運用しているインターネット定点観測システムです。インドネシアには複数のセンサーが設置されており、今回の訪問にあわせて、今後のセンサー設置と管理について打ち合わせを行いました。
JPCERT/CC は今後も世界各地のCSIRTと協力しながら、さまざまなプロジェクトを推進していきます。
- 福本 郁哉