FIRSTの加盟手続きが変わりました
はじめに
FIRSTは99の国と地域から615のCSIRTが参加する、世界最大のCSIRT団体です(なお、数字は2022年4月現在のものです。最新の会員数はFIRSTのWebサイト[1]から閲覧可能です)。 JPCERT/CCは、4名の職員が通算で14年間理事を務めるなど、積極的にFIRSTの活動に参画してきました。2010年から現在までに39のCSIRTのFIRSTへの加盟をお手伝いしたこともそのひとつです。
このFIRST加盟の手続きが2022年1月に改訂されました[2]。本記事では、FIRST加盟に関心をお持ちの企業・組織のCSIRTの方を対象に、新しいFIRST加盟の手続きをご紹介します。
記事の構成は次のとおりです。まず、1. 用語の説明 でFIRSTの加盟手続きで使われる特殊な用語の説明をします。2. 新しい加盟手続き では新しい加盟手続きを、順を追って解説します。3. 実際の加盟手続き支援からの教訓 ではJPCERT/CCがこれまで加盟手続きをお手伝いした経験から、つまずきやすいポイントとその対策をお伝えします。
1. 用語の説明
本文中に登場する、用語についてまず説明します。
正会員(Full Member)とリエゾン会員(Liaison Member)
FIRSTの会員資格は正会員とリエゾン会員に分かれます。前者は組織内CSIRTが対象で、総会での議決権を持ちます。後者のリエゾン会員は、所属する組織にCSIRTがないが、FIRSTの活動に参加を希望する個人のための会員資格です。この記事では正会員としての加盟について解説します。
加盟希望CSIRT(Candidate)とスポンサーCSIRT(Sponsor)
「加盟希望CSIRT」とはFIRSTへの加盟を希望するCSIRTのことです。FIRSTの申請書類ではCandidateと呼称されます。「スポンサーCSIRT」とは、加盟希望CSIRTの推薦を行う正副2つのCSIRTのことです。すでにFIRSTの正会員である必要があります。全体の調整をし、慣例としてサイトビジットレポート(後述)の作成をするCSIRTを英語でPrimary Sponsor、そうでない方をSecondary Sponsorと区別することがあります。
理事会(Board, BoD)と事務局(Secretariat, FSS)
「FIRST理事会」は会員の投票で選ばれた10人の個人で構成されるFIRSTの意思決定機関で、加盟の最終的な判断をします。「FIRST事務局」はFIRST理事会をサポートし、加盟希望CSIRTの支援を担当します。
2. 新しい加盟手続き
2022年1月からの新しい加盟手続きのステップは大きく以下の8つに分けられます。
- 加盟希望CSIRTによる、スポンサーCSIRT探し
- 加盟希望CSIRTによる、オンライン申請フォームの記入
- 加盟希望CSIRTによる、SIM3アセスメントの実施
- スポンサーCSIRTによる、サイトビジットの実施
- スポンサーCSIRTによる、推薦状作成
- 加盟希望CSIRTによる、オンライン申請フォームの提出
- FIRST事務局などによる申請内容の確認
- FIRST理事会での承認
以下に、順に内容を解説します。
加盟希望CSIRTによる、スポンサーCSIRT探し
加盟希望CSIRTは、FIRSTの既存会員の中で、2つのスポンサーCSIRTを探す必要があります。FIRST会員リスト[1]および日本のFIRST会員リスト[3]の中で、これまでに協力したCSIRTがないか確認してみてください。
見つかったらそのCSIRTに連絡し、スポンサーCSIRTとして推薦することを依頼します。
加盟希望CSIRTによる、オンライン申請フォームの記入
加盟希望CSIRTは、FIRSTのWebサイトにある専用のWebページ[4](要ユーザー登録)で、自チームの連絡先情報、発足した時期、サービス対象者などの基本的な情報を入力します。情報の保全をはじめとした組織内情報セキュリティポリシーの有無など、幅広く問われます。 ただし、SIM3アセスメント、スポンサーCSIRTからのスポンサーレター(推薦状)、サイトビジットレポートの3箇所はこの段階では空欄のままで構いません。 オンライン申請フォームは下書き状態で保存可能ですので、下書きとして保存して、次のステップに進んでください。
加盟希望CSIRTによる、SIM3アセスメントの実施
SIM3とはCSIRTの成熟度を自己診断するためのツールです。前述の専用Webページから診断を行ってください。組織、人材、ツール、プロセスの4つのカテゴリーについてそれぞれ10問程度の選択式の設問に答えると、右側の円グラフが変化して、CSIRTの成熟度を表示します(図1参照)。
各項目についてFIRSTが求める基準があります。基準はだいぶ緩いものです。もし加盟希望CSIRTの現状がFIRSTが求める基準に満たない場合、スポンサーCSIRTと相談の上、改善してください。すべての設問についてFIRSTの基準を満たしたら、「結果のURLを取得する」とボタンをクリックし、結果URLをオンライン申請フォームに書き込んでください。
スポンサーCSIRTによる、サイトビジットの実施
申請フォームが9割完成した段階で、何れかのスポンサーCSIRTが、加盟希望CSIRTを訪問します。これをサイトビジットと呼びます。本稿執筆時点で、感染症対策のためにオンラインでのサイトビジットが特例[5]として許可されていますが、原則として実際に現地を訪問することが求められています。加盟希望CSIRTとスポンサーCSIRTで相談して、日程を決めます。
サイトビジットでは、まずインシデント対応の計画や手続きが申請フォームに記載されているとおり、きちんと存在するかを確認します。その上で、加盟希望CSIRTのメンバー複数と面談し、時には加盟希望CSIRTが所属する組織の経営層と面談します。詳細についてはFIRSTのサイトビジットガイドライン[6]を参照ください。スポンサーCSIRTは、サイトビジット終了後に、所見を報告書にまとめて、加盟希望CSIRTに送ります。
スポンサーCSIRTによる、推薦状作成
サイトビジットで、加盟希望CSIRTがFIRSTの求める基準を満たすことを確認した後に、スポンサーCSIRTは推薦状を作成します。決められた書式はありませんが、加盟希望CSIRTの簡単な紹介、スポンサーCSIRTとの関係、どのような点でFIRSTに貢献することが期待できるか、などについて簡潔に書きます。正副2つのスポンサーCSIRTは、推薦状を加盟希望CSIRTに送ります。
加盟希望CSIRTによる、オンライン申請フォームの提出
オンライン申請フォームに、SIM3の結果、サイトビジットレポートや推薦状を添付し、申請フォームを提出します。
FIRST事務局などによる申請内容の確認
オンライン申請フォームの内容は、FIRST事務局や、メンバーシップ委員会によってレビューされます。この段階で、書類の不足や記述の修正を求められることがあります。 その後、おおよそ1週間の既存会員によるレビュー期間が設けられます。提出した内容は、既存のFIRST会員が閲覧可能な場所にアップロードされ、レビューされます。申請内容への質問が寄せられたり、記述の修正を求められることが稀にあります。
FIRST理事会での承認
FIRST事務局、メンバーシップ委員会、FIRST会員によるレビューを経た申請は月次のFIRST理事会で審議され、加盟が承認されます。
以上が、新しい加盟手続きになります。
3. 実際の加盟手続き支援からの教訓
冒頭に書いたとおり、JPCERT/CCは2010年から現在まで、39のCSIRTのFIRSTへの加盟をお手伝いしてきました。その経験から、つまずきやすいポイントとその対策をお伝えします。
加盟手続きに要する時間
加盟手続きに要する時間は、加盟希望CSIRTの準備状況に大きく左右されます。一概には言えないですが、経験上、動き出してから6カ月~10カ月かかるケースが一般的です。理由は、スポンサーCSIRTに課せられるサイトビジットレポートの作成作業が比較的時間がかかること、そして承認のための理事会は月に1回しかないことなどが挙げられます。余裕を持った対応をお願いします。
1つの企業に属する、複数のCSIRTが加盟を希望する場合
CSIRTの業務範囲は拡大しています。PSIRTなどの特化領域を持つケース、グローバル企業で地域ごとにCSIRTが活動するケースも珍しくありません。FIRSTは1社につき1つのCSIRTのみ会員となれるといったルールはなく、複数のCSIRTがFIRSTに加盟して、問題ありません。現在のFIRST会員にも、そういう例が複数あります。
ただし、加盟手続きの段階で、同じ会社に所属する複数のCSIRTの役割分担について、明確に説明する必要があります。また、Primary Sponsorは親会社や系列組織の会員以外に依頼する必要がある点にご注意ください。
スポンサーCSIRTが見つからない場合
特に新しく発足したばかりのCSIRTにとって、FIRST加盟を推薦してくれるよう頼めるチームがいないという状況は珍しくありません。FIRST事務局に連絡すると、スポンサーを引き受けてくれそうな既存会員、あるいはメンターとなってくれる既存会員を紹介してくれるとのことです。
日本企業であれば、日本シーサート協議会[7]の活動への参加をおすすめしています。CSIRT間の情報共有が活発に行われ、FIRST加盟を支援してくれるような、比較的歴史の長いCSIRTとの接触の機会が増えるからです。
申請フォームには「ありのまま」を記述する
申請フォームでは、加盟希望CSIRTの現状について、所属する企業・組織のセキュリティ対策について、さまざまな角度から問われます。申請フォームには、美化すること無く実態を記述するようにしてください。よく見せようと工夫する必要はありません。 また、申請フォームは既存FIRST会員なら誰もが内容を確認できるという位置づけの書類です。かなり多くの人の目に触れる可能性があるので、特に自社のサイバーセキュリティ対策などについて、細かい記述は不要です。
PGPが使えない場合
FIRSTでのコミュニケーションは未だにPGPを使った暗号化や署名が使われることが多いです。したがって加盟手続きの一環として、鍵ペアを作って、公開鍵を申請フォーム提出時に合わせて提出します。暗号化されたメールで連絡がくることもあるので、いつでも復号できる環境が必要です。一部の組織では、PGPの操作に慣れていないことや、利用が許可されているソフトウェアにPGPクライアントが含まれないことにより、加盟手続きが滞ることがありました。
CSIRTの代表者はメールをきちんと読んでください
FIRSTの加盟手続きの段階では、実際の活動がどのようなものかイメージするのは難しいものです。JPCERT/CCが加盟手続きについて相談を受けた際に必ず説明しているのは以下の点です。 まず、FIRST会員はいくつかの義務を負います。年会費2000ドル支払いや、年次総会への参加は会員の義務です。加盟手続きの段階で、これらの支出や出張などは計画に織り込んでください。 次に、上記の会員が必ず行わなくてはいけない作業は、加盟希望CSIRTの代表者(Repと呼ばれる)に対して、事務局から依頼のメールが届くことが多いです。Repがメールを読み飛ばしていると、年会費を滞納するなどの問題が生じます(実は、JPCERT/CCも一度督促を受けたことがあります)。
できればFIRSTと長いお付き合いを
FIRSTの加盟手続きはそれなりに労力がかかります。従って一度労力をかけてFIRSTに加盟したCSIRTの皆さんには、その場をなるべく長く活用いただきたいと考えています。特に、定期的な人事異動が行われる企業・組織においては、担当者が変わっても活動を維持できるよう、組織的なサポートを加盟手続きの段階でご検討いただきたいです。
おわりに
2022年、国際的なCSIRTの間の連携はますます難しくなっています。FIRSTの活動も例外ではありません。FIRST会員の多くは、アニュアルカンファレンスで集い情報交換するのを楽しみにしてきました。新型コロナウイルス感染症のため、2020年そして2021年と、2年連続でアニュアルカンファレンスが対面で開催できませんでした。さらに、ロシアのウクライナ侵攻を受けて、ロシアを拠点とする複数のFIRST会員が会員資格停止になりました。 新しいFIRSTの形が、また新しい国際的なCSIRT間の連携の形を模索する動きがこれからさらに活発になるでしょう。そのためには、2024年に福岡で開催予定のアニュアルカンファレンスが非常に重要なマイルストーンとなります。日本国内の多くのFIRST会員の皆さんと、そしてこれからFIRST会員になるべく手続きをされる皆さんと、一緒に福岡での会合を盛り上げていきたいと思います。
参考情報
[1] FIRST Members around the world
https://www.first.org/members/map
[2] The FIRST membership process
https://www.first.org/membership/process#2-2-The-membership-process
[3] FIRST Members around the world
https://www.first.org/members/map#country%253AJP
[4] Full member application form
https://portal.first.org/application/full-member
[5] The FIRST Membership Process April 2020 Update
https://www.first.org/membership/updates-202004
[6] FIRST Site Visit Requirements and Assessment
https://www.first.org/membership/site-visit-v3.1.pdf
[7] 日本シーサート協議会
https://www.nca.gr.jp/
