世界のCSIRTから ~タイ、インドネシア~
世界のCSIRTから vol.5
こんにちは。国際部の中野です。2月下旬~3月上旬にかけて、タイとインドネシアに出張し、それぞれの国のナショナルCSIRTやサイバーセキュリティコミュニティーを訪問しましたので、ご報告します。
タイ
2月下旬と言えば日本ではまだまだ真冬ですが、私たちが訪れた時のタイは天気も良く、日中は気温が35度程度、夜中でも25度以上ととても暑い日が続き、外を歩けばほんの2、3分で汗が吹き出てくる気候でした。そんな暑い中でも、首都バンコクでは夜も人や車が多く行き交い、活気のある街でした。
タイでは長らく、デジタル経済社会省傘下の電子取引開発機構(ETDA)の一部門として、ナショナルCSIRTのThaiCERTが存在しましたが、2021年に国家サイバーセキュリティ局(NCSA)が設立され、ナショナルCSIRTとしての機能も、 “ThaiCERT” という看板も、そして “thaicert.or.th” というドメインもすべて新組織へと移管されました。こうした組織改編はすべてCOVID-19による海外渡航規制中に行われており、また、具体的に何が変わったのかということは国外からでは中々見えづらい状況にあったため、この度、新旧ThaiCERTの両方を訪問し、タイでのサイバーセキュリティの体制について最新の情報を得つつ、両組織との関係構築・強化を図ることとなりました。(以降、旧ThaiCERTをETDA、新ThaiCERTをNCSAと表記します。)
最初に、JPCERT/CCとの交流が長く、またアジア太平洋地域のナショナルCSIRTコミュニティーであるAPCERTにも多大な貢献をしてきたETDAを訪問し、国内における現在の役割や業務、タイのサイバーセキュリティの現状について聞き取りをしました。組織改編以前のThaiCERTは政府組織に対して情報漏えいやインシデントの報告を義務付けたり、サイバーセキュリティの監査を行ったりする権限を持っておらず、「アドバイス」することしかできなかったとのことで、結果として、政府組織で同様のインシデントが繰り返し発生し、タイがAPT攻撃の大きな標的となる等、深刻な状況に陥っていたとのことでした。より強い権限を持った新組織にナショナルCSIRTの任を与える、というのが今回の組織改編の大きな目的の一つだったようです。
ETDAでは、ナショナルCSIRTという看板こそなくなったものの、SNSをはじめとしたデジタルプラットフォームの規制や、タイで大きな問題となっているオンライン詐欺への対処などの業務を通して、引き続きタイ国内のサイバーセキュリティへの貢献を行っていくとのことで、「業務は変わらないが、役割が変わった」と表現していました。職員の顔ぶれも依然と変わらず、安心しました。
次に、現ThaiCERTの看板を持つNCSAをはじめて訪問しました。NCSAは政府組織および重要インフラセクターのサイバーセキュリティを管轄しており、旧ThaiCERTであるETDAの職員のサポートも得つつ、ポリシーや戦略、ガイドライン、標準等の作成、サイバー脅威のモニタリングと分析、コーディネーション、啓発活動やキャパシティビルディング等幅広く活動を行っているようでした。まだナショナルCSIRTとしては日が浅いため、現在の職員の多くはサイバーセキュリティ分野の出身ではなく、軍や警察出身の方が多いとの話でしたが、聞くところによると、タイの若者の間では、サイバーセキュリティ関係の職はとても人気が高いとのことでした。若い世代にとってサイバーセキュリティ関係の職を魅力的にするのに必要な要素は何かと質問をしたところ、「若者を引き付けるのはお金だけではない。ワークライフバランス、その仕事に就いているのだというプライド、仕事を通して学べることなど、若者のニーズを理解することが肝要だ。」との回答をもらいました。その他にも、若者向けのサイバーセキュリティのコンペティション、高校・大学向けの広報・周知活動、インターンシップ等、次世代のサイバーセキュリティを担う若者に対する投資が多く行われているようでした。
インドネシア
タイを訪問後、その足でインドネシアの首都、ジャカルタも訪問しました。インドネシアもタイ同様、赤道付近の国ですが、幸いなことに雨模様の日が続いたため少し暑さは和らいでいました。車道には大量のスクーターが走り、道路脇では熱帯性の樹木の下でたくさんの小さな屋台が肉団子のスープやその他さまざまな料理を売る…日本では決して見ることの無い光景です。
ジャカルタではまず、国家サイバー暗号庁(BSSN)傘下にある、ナショナルCERTのId-SIRTII/CC(「アイディーシルティー」と読みます)を訪問しました。JPCERT/CC はId-SIRTII/CCと長く交流がありましたが、近年Id-SIRTII/CCで組織改編と、それに伴う職員の大幅な入れ替えがあったため、今回お会いした職員の方々は皆初対面でした。組織の名前は同じでも、中で働く人が変われば、雰囲気も変わり、別の組織のようになります。長年お付き合いのあった組織同士でも、お互いのことがよく分からなくなってしまいますし、関係の再構築が必要になります。そうした意味でも今回のId-SIRTII/CC訪問は非常に重要でした。私たちからJPCERT/CCという組織の基本的な業務内容や、運用している情報共有の仕組み等を新しい職員の方々に説明するとともに、現在のId-SIRTII/CCの体制や業務についても聞き取りをしつつ、関係の再構築を図りました。以前の「世界のCSIRTから」でもお話しましたが、サイバーセキュリティ分野では重要な情報を扱うことも多い都合上、「○○国のナショナルCSIRTだから」といって無条件に情報共有や連携を行うのではなく、それぞれの組織の、顔と名前を見知った担当者間の信頼関係によって実現することも多くあります。インターネットに関わる仕事をしながらも、インターネット外での(モニター越しではない)コミュニケーションが重要になってくるのです。そういった意味で、こうして直接赴いて顔と名前を見知った仲になるのは、JPCERT/CCにとってとても大切な業務です。
先ほど、Id-SIRTII/CCでは職員の大幅な入れ替えがあったと話しました。では、以前Id-SIRTII/CCで働いていた人々はどこへ行ってしまったのでしょう?実は、一部の方々は今でもインドネシアのサイバーセキュリティ分野の一線で活躍しています。そういった旧知の人々に会うべく、Id-SIRTII/CCの元職員を中心に設立された新組織CSIRT.IDと、インドネシア大学の電気工学科を訪問しました。
CSIRT.IDはId-SIRTII/CCの元職員で、長年JPCERT/CCやAPCERTとの関わりがあったメンバーによって設立されたコミュニティーベースのCSIRTです。以前から設立の話は聞いていましたが、具体的にどういった組織なのか説明を受けるのはこれがはじめてでした。聞くところによると、CSIRT.ID自体の職員は非常に少ないものの、ISPを含む、300を超えるローカルコミュニティーのパートナーと連携しており、またコミュニティーからの資金提供により、非営利・非政府組織として運営されているとのことでした。こうした全国のパートナーと連携してインシデント対応等を行う体制は、たくさんの島で構成されたインドネシアという国においては、有効かつ効率的なのかもしれません。インシデント対応の他にも注意喚起やフォレンジック、脆弱性診断、ペネトレーションテスト、SOCサービスの提供、CSIRTの設立支援、サイバーセキュリティ演習やセミナーの実施等、CSIRT.IDの業務内容は多岐にわたるようでした。こうした幅広い、実務重視の活動ができるのも、インドネシアのサイバーセキュリティコミュニティーに長く貢献してきた方々が築いてきた人脈によるものだと思います。ここでもやはり、サイバーセキュリティは「人」によって行われるものだと再確認できました。
インドネシア大学にも同様に、Id-SIRTII/CC元職員の方が在籍しており、彼が教鞭を執る電気工学科を訪問しました。インドネシア大学にはサイバーセキュリティの修士課程があり、いくつかのサイバーセキュリティに関するトレーニング受講が単位として認められ、就学期間を短縮できるシステムになっている他、サイバーセキュリティに関するツールや資格の開発を行ったり、複数の奨学金プログラムを提供したりする等、インドネシアにおけるサイバーセキュリティ人材の育成に力を入れているとのことでした。また、日本のJICAと連携してキャパシティビルディングのプログラムも行っているとのことで、そうした活動に関する話を聞くとともに、JPCERT/CCからも講師の派遣等、連携の可能性を模索していきたい旨伝えました。
終わりに
近年、サイバーセキュリティの重要性が増すにつれて、各国でナショナルCSIRTや関連組織の改編が頻繁に起こるようになりました。今回訪問したタイのように、政府内で新しい組織が立ち上がるパターン、インドネシアのように、職員の大幅な入れ替えが発生するパターン等、方法はさまざまですが、それぞれの国が自国の実情や法に合わせた最良の形を模索していることが分かります。しかしながら、ここで大切なことはやはり、サイバーセキュリティの分野では「信頼」が重要であり、それは「組織」だけではなく、そこで働く「人」同士の関係性に頼る部分も大きいということです。「世界のCSIRTから」シリーズでは、そうしたインターネットだけでは完結しない「人」同士の繋がりが見えるように今後も努めていきたいと思います。ここまで読んでくださりありがとうございました。
国際部 中野 巧