JPCERT/CC 感謝状 2020~オンライン贈呈式にて
皆さん、こんにちは。広報の松岡です。
2020年9月、JPCERT/CCのサイバーセキュリティ対策活動に、大きなお力添えをいただきました方に感謝の気持ちをお伝えしたく、記念の盾とともに感謝状を贈呈しました。感謝状は2014年から毎年贈呈させていただいていますが、今年は、ソフトウェア製品等の脆弱性に関する調整活動の要となるご報告をいただきました秋山様と、マルウェアの分析や国内のサイバー攻撃による被害の低減につながるご報告をいただきました、今井様、大角様、市原様、ITCCERT様のトップインシデントレポーターの方々の5組織の皆さまに感謝状をお贈りいたしました。
例年は、感謝状をお受け取りいただく皆さまに直接お会いして感謝の思いとともに感謝状と盾をお贈りしていましたが、今年は新型コロナウイルス感染症の影響でオンラインでの贈呈式となりました。
感謝状をお贈りした皆さまには、JPCERT/CCの活動へのお力添えとともに、オンライン贈呈式へのご参加、貴重なお話、お写真のご提供などもいただき、誠にありがとうございました。重ねて御礼申し上げます。
今回は、感謝状をお贈りした方々と贈呈式でお話した内容をご紹介したいと思います。
NTTセキュアプラットフォーム研究所 秋山 満昭 様
秋山様は、サイバーセキュリティに関わる学術研究分野において、研究過程で発見した脆弱性などのセキュリティ上の問題点について利害関係者と事前に調整し、必要な手続きを経てから情報を公開するResponsible disclosureを数多く実践されています。 贈呈式では、このResponsible disclosureのご経験とそこから感じる課題をお話ししてくださいました。一般に、脆弱性が発見されてから開発元で修正され、その修正版が公開されるまでにはさまざまな利害関係者との調整が必要となります。その調整は場合によっては数年かかることも。調整コストの高さから開発者への報告が敬遠される面もあります。こうした状況に秋山様は「今はバグバウンティもあり、脆弱性を発見することには積極的な人も多いが、開発者と調整するステップはあまり注力されていない。そういった現状を変えていきたい」とおっしゃっていました。また、「一度、自分でResponsible disclosureを経験すると、関係者との調整の過程やJPCERT/CCなどの調整機関がどんな動きをしているかが見えてくるので、そういった意味でも脆弱性を発見する方には経験してもらいたい」とのコメントも。(JPCERT/CCにとって、ありがたいかぎりのお言葉をいただきました!) 一方で、こうした開発者やJPCERT/CCとの調整において、脅威情報を社外に共有することに対して、社内の理解が得られないケースがあることも課題としてあげられました。このような互助的活動(組織を超えた情報共有)の社会的および経済的な観点について経営層にどう伝えていくべきかといった問題にも向き合っていく必要があるとお話されていました。こういった経営層への説明は、情報共有だけでなく、事業におけるセキュリティの位置づけやセキュリティ投資といった面で多くの組織で課題となっているのではないでしょうか。
理化学研究所 市原 卓 様
今年、JPCERT/CCは創設24年を迎えますが、1996年に組織化される以前はボランティアベースでセキュリティ活動を行っていました。このJPCERT/CCの組織化から遡ること数年前、日本では、インターネットの運用と発展を目的とする中立的な組織である「日本インターネット技術計画委員会(JEPG/IP)」が創設され、ネットワークの円滑な運用を実現するために技術的な側面からさまざまな支援が行われていました。同じころ、米国では、セキュリティインシデントを専門に取り扱う組織としてCERT/CCが設立され、発生したインシデントの報告を受け付け、解決のための調整を行い、被害拡大とさらなるインシデントを未然に防ぐために情報を発信していました。そして、日本にも、このCERT/CCと同等の機能が必要だという流れが生まれ、JEPG/IP内にメーリングリストが用意され、CERT/CCから流れてくる情報を受け取って国内に流通する活動が開始されました。この中心人物のお一人が、理化学研究所でTISN[※1]およびHEPnet[※2]の運用に関わっていた市原様です。
インターネット創設期の詳しいお話はこちらから。。。
JPCERT/CC 立ち上げのころの話
また、ご専門である原子核物理学の実験データの解析のために日常的にコンピューターを用いて計算し、実験施設のサーバー管理などもされていました。 かつては、実験を支えるツールの一つであったコンピューターが研究を進める中で発展を遂げ、やがてインターネットの普及とともに、そのセキュリティが考えられるようになっていった。。。今やありとあらゆるビジネスを支えているインターネットの基礎とセキュリティは、こうして考えられ始まったかと思うと感慨深いところがあります。
市原様は、現在も理化学研究所のサーバーの運用に携われていて、発見したフィッシングメールをはじめとした多くの情報をいただき、JPCERT/CCの活動を支えていただいています。
[※1]TISN:東京大学国際理学ネットワーク。国内のインターネット黎明期時には三大プロジェクトであるWIDE、JAIN、TISNがインターネットを牽引していた。
[※2]HEPnet:高エネルギー物理学の分野で各地の研究所・大学にある研究用コンピューターを接続し、多量のデータを高速に共有することを目的に、1984年から運用されている。
株式会社インターネットイニシアティブ 九州支社 今井 健 様
今井様は、普段、業務などでセキュリティの調査をされる中で確認されたインシデントについてJPCERT/CCにご報告をいただいており、2019年ごろから日本も攻撃対象に加わったマルウェア Emotetに関連するご報告は、190件にものぼりました。その他にも、CMSの脆弱性やFTPアカウントの不正使用によるWebサイト改ざんに関する多くのご報告をいただき、2019年度、個人としてJPCERT/CCに最も多くインシデントのご報告をいただきました。
IIJ Engineers Blog 「JPCERT/CC 感謝状 2020」受領のご報告とインシデント事例について
https://eng-blog.iij.ad.jp/archives/6871
ヤフー株式会社 大角 祐介 様
「オンラインに引っ越します。」を掲げ、新しい働き方を進められているヤフー株式会社で、大角様は、Yahoo! JAPAN CSIRTのメンバーとして、社内の脆弱性検査やインシデントレスポンスを担当されています。贈呈式では、新型コロナウイルス感染症の影響で多くの組織で急速に広がったテレワーク環境で起こり得る問題についてのお話に。第一に、とり急ぎの対応として用意されたテレワーク環境ではプライベートで使用しているPCやルーターを業務に使用しているケースもあるため、私用と社用の境界があいまいになるという問題が挙げられました。第二に、そういったケースの中には、たとえば、マルウェアに感染した自宅のルーターを使ってテレワークをすることで社内ネットワークに影響を及ぼすリスクや、契約しているプロバイダーによっては、PCに直接グローバルIPが割り当てられているために、簡単に攻撃対象となるリスクも考えられると指摘されていました。 一方で、セキュリティ上の問題がわかったとしても、企業が社員の自宅のネットワーク環境にどこまで踏み込むかという悩ましい課題も上げられました。また、これまでのオフィスワークでは、対面で行われていた会話や会議がオンライン環境で行われることにより、ITスキルによって世代間格差が出てくることや、それに伴って、社内で培われてきたビジネススキルが埋没してしまうといった問題も出てくるのでは、とのお話も。こういった可視化しにくい問題は、終わりの見えないコロナ禍のいま、組織にとって長期的な側面で問題になっていくのではないか、とお話をうかがい感じました。
伊藤忠商事株式会社 IT企画部 ITCCERT 様
伊藤忠商事 ITCCERT様は、時間の都合上、感謝状のお渡しのみとなりました。ITCCERT様からは、フィッシングサイトに関するご報告を多くいただき、その他にも、フィッシングメールの配送などに悪用されていた国内組織のメールアカウントやマルウェアが設置された国内のサイトに関するご報告をいただきました。
今回は、2019年度のJPCERT/CCの活動に大きくご貢献いただいた5組織の方に感謝状を贈呈させていただきましたが、その他の多くの皆さまにJPCERT/CCの活動を日々支えていただいています。JPCERT/CCにお力添えいただいたすべての方々に、この場を借りて感謝申し上げます。JPCERT/CCにとって、皆さまからいただく脅威情報に関するご報告は大変重要なものです。今後、このようなご報告を多くいただいた方々に感謝の意をお伝えする新たな機会を設けることを検討したいと考えております。
引き続きJPCERT/CCの活動にご協力いただけますと幸いです。
- 松岡 満美子
