大学CSIRT体制に対する考察と新潟大学への部局CSIRTの適用

全文

DOI:10.24669/jacn.24.1_116. 大学CSIRT体制に対する考察と新潟大学への部局CSIRTの適用 Consideration of Academic CSIRT and Application of. Department-CSIRT for Niigata University. 青山茂義,三河賢治 S. Aoyama, K. Mikawa. [email protected]. 新潟大学情報基盤センター Center for Academic Information Service, Niigata University. 概要新潟大学では，2016年度から情報セキュリティ対策強化のため，セキュリティ体制の大幅な見直しを行ってきた．その一環として，既存の CSIRT（Computer Security Incident Response Team）の権限を強化し，2017年から新大 CSIRTが発足した．また，2018年度には，部局のセキュリティセキュリティインシデントレスポンス能力向上のために，部局CSIRTの設置を行った．本論文では，大学の CSIRT体制の考察を行い，新潟大学に適用した部局 CSIRTを中心に報告を行う．又，その応用として，実際のセキュリティ管理組織構造に合うように，新潟大学で初めて導入した合同部局 CSIRTと分割部局 CSIRTについての報告を行う．. キーワード情報セキュリティ，CSIRT，セキュリティ管理. 1 はじめに新潟大学は，10学部，6研究科，附属病院，附属学校，研究所等からなる大規模総合大学の一つであり，約 2万人のネットワーク利用者，及び，情報セキュリティポリシーの適用対象者がいる．また，セキュリティの管理・運用も，学部などの部局を中心に行われており，組織図上の部局数は約 40である．本学では，最高情報セキュリティ責任者 (CISO)のもとに，2003年から外部 SOC（Security Operation Center）とも連携した中央集約型 CSIRT（常時対応できるメンバー 3∼4名）の構築・運用を行ってきている．しかしながら，ネットワークやセキュリティの管理単位と組織図上の部局が必ずしも一致しておらず，速やかなセキュリティレスポンスを行う上での支障となっていた．また，部局におけるセキュリティレスポンスを含むセキュリティ維持・管理は，部局情報セキュリティ委員会（学部等大規模部局の場合）や部局運営委員会（センター等の小規模部局の場合）などで行うことになっていた．昨. 今では，セキュリティレスポンスは，数分から遅くても数時間程度での即時対応が要求される．しかしながら，会議体である委員会組織では，このようなタイムスケールでの即時対応には向かず，多くの部局では実際に即時対応出来ていないなどの問題が明らかになっていた．新潟大学では，2016年度から 2018年度にかけて，セキュリティ体制の大幅な見直しを行ったが，特に即時対応を実際に行える組織として，部局 CSIRTの導入・整備を行った．中央集約型 CSIRT は，比較的構築も容易なので，. JPCERT の CSIRT ガイド [1] や各種 CSIRT 講習会などでも解説されることが多いが，部局の独立性が高い総合大学の実運用には向かないと思われる．中央集約型 CSIRT以外にも分散型 CSIRTやハイブリット型 CSIRT[2]も考えられるが，その具体については公開や解説されることはあまりない．又，大学の組織構成やコンピュータ管理体制も企業に近いとは言えないので，そのまま適用できるわけではない．そこで，中央集約・分. - 116 -. 学術情報処理研究 No.24 2020年. https://doi.org/10.24669/jacn.24.1_116. 散ハイブリッド型 CSIRTモデル（図 1参照）をもとに大学特有の問題等も考えながら，組織構成や各種規程・手順の整備，セキュリティ体制の変更を 2017∼2018年度に行った．その目玉は部局 CSIRTの設置であるが，本学に限らず，大阪大学のOU-CSIRT[3]など，他大学でも導入が進みつつある所である．また，従来の中央集約型 CSIRT構築も，各大学で急速に進んでいる [4]．最近改定されたサイバーセキュリティ基本法の第八条では，大学のセキュリティ対策等の研究開発の成果を積極公開することが求めれれている．CSIRT体制については，各大学のセキュリティポリシーの制約などもあり，分かり易い形での文書化なども進んでいない．そこで，本学での部局 CSIRTの構築を背景にモデル化し，部局 CSIRTに対する考察や説明を行う．特に，「部局情報セキュリティ委員会」などの会議体ではなく，各部局で「部局 CSIRT」を直接持つことのメリットは，i)即時対応が可能になること，ii)合同部局CSIRTのような形で実情にあったセキュリティレスポンス体制を組めることにある．これら本学で部局 CSIRTを導入する上で行った考察や導入事例は，今後，他大学でも導入が進むと予想される部局 CSIRT構築や，独立性が高く複雑な組織構成を持つような企業等の参考になると考え，本稿としてまとめる．特に，実際の大学の組織構造に合うように導入した合同部局 CSIRTと分割部局 CSIRTという概念と導入事例について詳細説明を行う．. 2 大学におけるCSIRT体制 2.1 新潟大学におけるCSIRT体制の概略新潟大学では, 2002年 12月に情報セキュリティポリシーが策定された．その翌年～翌々年には，CISO直属の実働部隊として，情報基盤センター（当時の名称は総合情報処理センター）情報セキュリティ相談室を中核とする CSIRT体制の構築が行われた．平常時は，技術面等の運用を統括する専従の全学セキュリティ担当教員（著者の青山）に加えて，セキュリティ分析・対応を専門とするセキュリティ技術者（外部委託），技術補佐員（情報基盤センター所属），事務職員（兼任）の 3∼4名体制で新潟大学のセキュリティ維持活動を行ってきた．最近では，セキュリティ体制の大幅な見直しを行ったが，2017年度から新大CSIRTという名称の中央CSIRT が発足し，2018年度からは学部等にも部局 CSIRT（次節で説明）が発足した．また，情報基盤センター所属のセキュリティ専任教員 2名に加えて，新大 CSIRTの運用を主業務とする技術職員１名と事務職員 2名 (技術系専門職員含）を新たに採用して，新大 CSIRTへの配置を行い，人員面でも，安定したセキュリティ維持活動が可能になってきた．更に，セキュリティポリシーや各種. 規程の改定を行い，大幅な権限強化が行われた．例えば，セキュリティインシデント発生時には，セキュリティインシデント発生機器の強制的な使用停止や証拠保全等を含む具体的指示を新大 CSIRTリーダー（専任教員）の判断で行うことが可能になった．それ以前におけるセキュリティインシデント発生時の対応は，部局担当者やセキュリティインシデント発生者への対応依頼という形であったので，ユーザに対応等を拒否された場合は，強制的な実施のため，CISOや当該部局長の承認等をとる必要があった．このような状況は，速やかなセキュリティインシデントレスポンスへの支障となっていたが，大きく改善された．新大 CSIRTの主な活動対象は，セキュリティインシ. デント発生時のセキュリティレスポンスに加えて，各種セキュリティ手順の整備，構成員への啓発，情報提供，講習会開催，講師派遣，セキュリティ相談等である．他大学との比較で，特徴的な点は，初期の段階（2003年頃）から，外部 SOCによるセキュリティシステムの 365 日 24時間監視と，平常時からセキュリティ会社のセキュリティ技術者を CSIRT体制に組み込み，休日や夜間も含む常時対応体制を取っていることにある．. 2.2 中央集約・分散ハイブリッド型CSIRT 2.2.1 CSIRT体制の型. 大学は，自由な教育研究環境を重んじる風潮がある．そのため，中央集権的であったりトップダウン的な発想を好まない傾向が強く，大学組織の運用も，学部，学科，研究室などに，大きな権限が分散している．コンピュータの管理・運用も例外ではなく，大学全体の教育システムやメールシステム等の管理を行っている情報系センターであっても，学部等で独自運用しているサーバや研究室のパソコンなどの内容は，通常は把握していない．この点が，トップダウン的な組織構成を持つような民. 間企業や官公庁等とは大きく異なっており，単純に中央集約的なCSIRT（図 1上段）を手本 [1]にしても，うまくいくとは限らない．一方，民間企業でも，グループ企業などの独立な会社の集合体などの場合には，独立性の高い組織毎に，CSIRTを構築する分散型CSIRT（図 1中段）や中央集約・分散ハイブリッド型 CSIRT（図 1下段）が考えられる．中央集約・分散ハイブリッド型 CSIRTでは，セキュリティ発生時の分析や組織全体のセキュリティ手順作成など，専門性の高い CSIRT業務は中央の CSIRTが集約して行う．セキュリティインシデントレスポンス補助，再発防止策実行やセキュリティ意識向上など，部局等に適した業務は，ブランチ CSIRT で行う．. - 117 -. 大学（主に，総合大学）では，部局毎の独立性が高いが，多くの部局では CSIRTを自己完結で運用できるほどの体制が組めない．このような場合は，単純な中央集約型 CSIRTや分散型 CSIRTではなく，大学全体としての中央集約・分散ハイブリッド型 CSIRTを構築した方が，円滑な CSIRT運営が期待できる．. !"#$%&'(). *+,-. ./01 *+,-. ./01. *+,-. ./01. "#234!"#$%. 56789:;<=>?@A"BCDAEFGHI. JKLM. %&'(). ./01. NO:;. PQ4!"#$%. 56789:;<RSTU4?@AVWXYCDHI. JKLM. %&'(). JKLM. %&'(). JKLM. %&'(). "#23-PQZ[J\]^4!"#$%. 56789:;<_U?@A?CDHI. JKLM. %&'(). JKLM. %&'(). "#%&'(). 図 1: 典型的な CSIRT体制の型. 2.2.2 大学で部局CSIRTが重要となる理由. 企業等のトップダウン的組織では，情報システム全体を統括する一つの情報部門があり，情報機器の調達・管理・運用を行っている場合が多い．このような組織でセキュリティインシデントが発生した場合は，中央の CSIRTが，情報システムを管理している部門と連携して，セキュリティレスポンスを行えばよい．その後の対応や日々の啓発等も，企業全体として必要な人員を確保して行えばよいので，必ずしも，各々の部門や部署内に個別に CSIRTを構成する必然性はない．新潟大学でも，当初は前述の情報セキュリティ相談室を CSIRTの核とし，各部局のセキュリティ委員会等と連動したセキュリティインシデントレスポンスを念頭に置いた中央集約型 CSIRTモデルでセキュリティ体制を構築した．しかしながら，実際には，あまりうまくは機. 能しない場合も多かった．理由はいくつかあるが，大きなものの一つは，部局における情報機器の調達・管理・運用の独立性の高さにある．セキュリティインシデントが発生した場合には，ケー. ブル抜線を行ったり，セキュリティ分析のために管理者アカウントが必要になったりする場合が多い．大学では，多くの場合，部局や各教員がコンピュータを管理しているので，これらを行う場合，基本的には部局やコンピュータを管理している教員等の協力・許可を得る必要がある．しかしながら，中央 CISRTには，誰がそれらの判断の権限を持っているのかが分かりづらく，ケースバイケースであるので，対応に時間がかかる．そのため，速やかなセキュリティレスポンスを実現するためには，あらかじめ権限を明確にした大学全体の共通規格の実行部隊が部局にも必要である．この状況は，大学全体としては，CISOの下に情報セキュリティ委員会等の委員会組織があったとしても，即時対応や常時対応には， CSIRTという実行部隊が必要であるのと同様である．そこで，新潟大学の本部CSIRT（旧体制）では，部局. の独立性が高い新潟大学では，各部局にも CSIRT機能を有したブランチCSIRTも必要であると判断し，CISO や情報セキュリティの関係委員会等で部局 CSIRT設置の提案を行い，新潟大学におけるセキュリティ体制の再構築を行った．また，部局 CSIRT の主要な構成メンバーの名簿. （CSIRT 長，CSIRT リーダー，CSIRT 副リーダー， CSIRT事務担当）は，中央 CSIRTで管理することにした．本学では，学部等に設置したブランチ CSIRTのことを部局 CSIRTと呼んでいる．単に新大 CSIRTと呼んだ場合は，中央 CSIRTを指すが，実際の大学全体の CSIRT 活動は，中央 CSIRT と部局 CSIRT 共同のもとに，二段構成で行っている．大学組織では，本部 CSIRT[3]や部局 CSIRTという呼称の方が役割等をイメージしやすいと思われるので，以降は，本部 CSIRT と部局 CSIRTを用いる．図 2 では，部局 CSIRTの概略を表しているが，部局. CSIRT長は，部局のセキュリティ維持等に責任を持つ部局長である．しかしながら，部局長は，様々な業務の責任者も併任しており，セキュリティインシデントレスポンスの実務者にむいていない場合が多い．そのため，実際の実務を行うための部局 CSIRTリーダーを部局CSIRT長とは別においている．部局CSIRTリーダーとして想定しているのは，部局内のコンピュータ管理に詳しく，教授会等への参加資格もあるような中堅教員である．ただ，教員がリーダーの場合は，授業中であったり出張等が多く多忙であるというのに加えて，本学の場合は勤務時間などがある程度自由な裁量労働制でもあるので，セキュリティインシデントレスポンスを速やかに行えない場合がある．そのため，副リーダー（複数名. - 118 -. 可）も配置している．また，これまでの委員会ベースの運用の大きな問題点の一つは，部局内での事務系の連絡体制等をうまく活用できない場合が多いことであった．そのため，部局 CSIRTには，部局 CSIRT運用に必要な事務作業や部局内連絡を担当する（総務系）事務職員（複数名可）を含めていただき，事務系 CSIRT業務を担当職員の正式な職務（部局 CSIRT規程）とした．これにより，セキュリティインシデントを発生させたコンピュータを管理する教員が出張中などの場合も，緊急連絡網（本部 CSIRTでは知ることができない個人携帯電話番号等）を用いて，セキュリティインシデント発生者に緊急連絡していただけるようになった．部局 CSIRT構成員選定には制限はないが，その部局の CSIRT活動を現場で中心になって担う技術職員，事務職員や助教等の若手教員が想定であり，部局の実情に合わせて，部局長（CSIRT長）によって選定される．例えば，部局 CSIRT設置前は，技術職員は，セキュリティ業務を行う根拠が明確でない場合が多く，緊急対応の場合も，正式な自業務に優先してセキュリティレスポンスを行う必然性はなかった．設置後は，部局長に選ばれた技術職員は，セキュリティポリシーや CSIRT規程に基づいた大学の公式業務として行うことになった．. !"#$%&'. !"#$%&'()!"(. !"#$%&'*+,+)-./. !"#$%&'0*+,+)-./. !"#$%&'1234)12./56278. !"#$%&'9:/)-./. ;!#$%&'. <. =. >?@ABCDEF*GH. IJKL. >MNOPNQRSTNS. CUVWX. >!"CDEF*GHIJ. KL. >MNOPNQRSTNS. CYZ>[VWX. 図 2: 本部 CSIRTと部局 CSIRT. 2.3 合同部局CSIRTと分割部局CSIRT 新潟大学では，2004年頃からセキュリティ相談室という名称の実質的な本部 CSIRTと部局情報セキュリティ委員会を中心とするセキュリティインシデントレスポンス体制を構築・運用していた．部局情報セキュリティ委員会とは，部局のセキュリティの維持・管理をするために新潟大学の組織図にある部局が保持すべき委員会であったが，部局によっては教授会，運営委員会やコンピュータ委員会等がその機能を兼ねている場合もあった．しかしながら，従来の部局情報セキュリティ委員会を基本とするセキュリティインシデントレスポンス体制. には，大きく以下の三つの問題点があることがわかっていた． i)多くの小規模部局では，実質的なセキュリティ体制を組むことができない． ii)大学が二重組織構成であるため，即時対応が困難な場合がある． iii)組織図上の一つの部局が，セキュリティ上の一つのユニットとして必ずしもふさわしいとは限らない． 1点目は，組織図上の一つの部局であっても，他部局に主に所属した兼任教員や事務職員などが多い場合があり，実質的な構成メンバーがほとんどいない場合である．この場合，運営委員会などを部局情報セキュリティ委員会とすることは可能であったとしても，日々の啓発やセキュリティインシデント発生時の対応を速やかに行う人員がいない．2点目は，国立大学では，人事上の組織（教育研究院，学系，機構など）と教育や業務を行う組織（学部，大学院，センター等）の二重組織構成になっている場合が多い．例えば，一人の教員が学系と学部の二つの部局に所属している場合，セキュリティインシデント発生時の対応や日々のセキュリティ講習会などの啓発をどちらの部局情報セキュリティ委員会がやるのかが自明ではない．3点目は，組織図上は一つの部局であり部局長が一人しかいない場合でも，実質的には複数の部局である場合がある．例えば，新潟大学は附属の小中学校や幼稚園を持っているが，教育学部の一部（現在は独立部局）であったので，教育学部の部局情報セキュリティ委員会の担当であった．しかしながら，教諭，児童・生徒に対する日々の啓発やセキュリティインシデントレスポンスを考えると，普段はほとんど交流のない教育学部の教員等が対応するよりも，校長を責任者とし，学校教諭を中心とした実働部隊があるのが望ましいと考えらる．これらの解決ために，本学では，以降で説明する合同. 部局 CSIRTと分割部局 CSIRTを導入した．また，これは，責任組織としての部局情報セキュリティ委員会と実働組織としての部局 CSIRTという形で役割を分けることにより，柔軟にセキュリティ対応体制の構築が可能になったものであり，部局 CSIRT導入の大きなメリットでもある．組織図では一つの部局であっても，実質的に部局が複数の場合には，一つの部局で複数の CSIRT を持つ分割部局 CSIRTの場合は単純であり，それ以上の説明を要しないと思われるので，以下では，合同部局 CSIRTについて説明する．図 3では，上記の問題点 i)に対して，Aセンターを. 例に模式的に合同 CSIRTを示してある．学際領域を研究する Aセンターが新たに出来る場合，従来は B学部やC学部に所属していた関係教員の正式な所属先が，A センターとなる場合がある．このような場合でも，ホス. - 119 -. ト管理や障害通知などを，当該部局担当の事務職員と情報系センターで分担しながら行えば，ネットワーク管理自体は大きな支障はない．しかしながら，学部に比べて小規模なセンターでは，必要なセキュリティのスキルレベルを持った Aセンター CSIRTを構築することは，実際問題としては不可能な場合の方が多い．また，本部 CSIRTで全てのセンターや研究科等の CSIRT業務を代行するのも，マンパワーの面などからも難しい．この例のような組織の教員の場合は，兼任教員などの形で，関係学部の教育・研究にも関って，教授会や学部内セミナー等にも参加している場合も多い．そのため，日々のセキュリティ啓発等は関係学部の CSIRTで担当していただいた方が速やかにいく場合も多い．また，セキュリティインシデント発生事にケーブル抜線やデータフォレンジックを行う場合も，本部CSIRT単体よりも，面識などもあり，ある程度のセキュリティ知識と経験を有した関係学部の部局 CSIRTリーダー等に立ち会っていただく方が円滑にいく可能性が高い．そのため，本学では，単体で部局 CSIRTを構成するのが難しい場合には，CISOの承認のもとに，関連部局の CSIRTを加えたような合同部局 CSIRTを可能にした．部局情報セキュリティ委員会や運営委員会等を基本とするセキュリティインシデントレスポンス組織とした場合は，基本的にその部局に閉じてしまうので，相対的にスキルレベル等の高い関係部局のセキュリティインシデントレスポンス組織があったとしても，その協力を得ることは難しい．これが，部局情報セキュリティ委員会ではなく，部局 CSIRT体制を全学的に導入するメリットの一つである．モデル的に想定される合同CSIRTの構成は，CSIRT 長がAセンター長である．また，合同CSIRTリーダーや副リーダーは，Aセンター，B学部，C学部，D学部のリーダのいずれかが担当する。合同 CSIRTの事務担当は，Aセンターの事務職員である．構成員は，各組織の CSIRTの関連する構成員である．この構成のもとに合同 CSIRT全体の方針等が決定されるが，緊急のセキュリティインシデント発生時には，各組織の CSIRT があらかじめ決められた範囲のセキュリティインシデントレスポンスを行う．また，合同CSIRTやAセンターセキュリティ委員会の方針のもとに，各組織における常時のセキュリティ施作（啓発等）も分担する．新潟大学では，多くの場合，一人の教員が複数の部局に所属している．本学では，教育研究を担当している教員は，人文社会学系，自然科学系，医歯学系のいずれかに所属している．また，教育はいずれかの学部（大学），又は，研究科（大学院）に所属して行う．実際の組織運営上も，どちらの部局が主体とも言えない．また，名称の違いはあれ，他大学でも同様に，一人が複数部局（教育実施組織，研究実施組織，人事組織等）に所属してい. !"#$%&'(). *(+,&-./0123). 456,. !789+,. "789+,. #789+,. $!"#$:;"%&'(. !78"%&'(. #78"%&'(. "78"%&'(. $!"#$. $!"#$"%&'(. 図 3: 合同部局 CSIRTの例. る場合も多いと思われる．このような場合，単純に組織図に基づいた部局 CSIRT構成とすると，セキュリティインシデント発生時の初動などで大きな問題となる．例えば，一人の教員がセキュリティインシデントを発生させた場合，学系 CSIRTと学部 CSIRTのどちらが対応するのかセキュリティインシデント毎に決めなければけない．これを解決するため，部局 CSIRT運営を合同で行ったり，一つの CSIRTが代表して対応を行う自由度を認めて，実質的に動き易い部局 CISRTを構成するようにした．尚，実際にセキュリティインシデントが発生した場合に，本部 CSIRTがどの部局 CSIRTと連携して対応するのか混乱しないように，対応表と構成員表（年一回更新）を管理することにした．図 4は，本学の学系のセキュリティ組織の概略を示し. ている．最も単純な例として，学系に二つの学部と一つの研究科がある場合は，部局数は四である．そのため，部局情報セキュリティ委員会（部局によっては教授会やネットワーク委員会）も四である．又，部局 CSIRT導入前は，部局情報セキュリティ委員会にセキュリティ担当者が一名（実務を中心に行うセキュリティ専門委員会委員であるが，部局 CSIRT導入により解消）おり，本部 CSIRTとの連携を行なっていた．従来は，部局情報セキュリティ委員会が，部局のセキュリティインシデントレスポンスや啓発を行うことになっていたので，部局の CSIRT活動に相当する業務を行う組織は四つであり，どれが主体というわけでもなかった．又，学系や研究科は，学系全体や大学院教育の学部間の調整を行っている意味合いが強く，主な意思決定は学部教授会や学部委員会で行われる．そのため，C研究科の A学部系の教員がセキュリティインシデントを発生させたとき，本部 CSIRTは，名簿上で所属している X学系や C研究科のセキュリティ担当者に連絡するべきなのか，実際にセキュリティインシデントレスポンス対応等を行う可能. - 120 -. 性の高い A学部の担当者と連絡をとるべきなのかが自明でなく，どの部局が担当するか決めるまでに時間がかかり，初動対応が遅れる可能性が高かった． 2016年頃には，文部科学省から国立大学に対して，実質的なセキュリティレスポンス体制を組むように依頼があった．本学では，部局情報セキュリティ委員会を基本単位として，全学を網羅するセキュリティセキュリティインシデントレスポンス体制は従来からあった．しかしながら，上記の例のように，セキュリティレスポンスの即時対応という観点で見ると，二重組織の問題は解決しなければいけない課題であった．そこで，セキュリティ系委員会などでの説明に加えて，次節のスケジュールの説明会など，部局の現場の担当者等に「部局情報セキュリティ委員会ではなく，部局 CSIRTが必要な理由」や「合同部局 CSIRTが必要な理由」を丁寧に説明した．その上で，必要な場合は関連部局で協議して，合同 CSIRTなどを構成するように依頼した．学系の場合でいうと，図 4のように，学部 CSIRTが主体なって分担する場合と学系 CSIRT が主体となって学系全体のセキュリティレスポンスを行う場合の基本的な二パターンがあり，承認・導入された．前者は，主な意思決定を行う学部を中心に部局 CSIRTを設置するので，新潟大学の組織運営上は自然である．後者は，文系の学部の場合，セキュリティやネットワークの知識を持つ教員数が少なく，コンピュータ担当の技術職員も配置されたいないため，学部毎に部局 CSIRTを作るのが現実的に難しいからであった．合同 CSIRTの大きな問題点としては，組織図上では別部局である CSIRT構成員が，セキュリティインシデントレスポンスを行ったり，セキュリティインシデント内容等を知る可能性があることである．そのため，部局間で事前に十分な協議をして，意識合わせをする必要がある．合同CSIRT設置は，部局間での協議後に，CISO への申請を行い，その許可がをとる必要がある．そのため，他部局の CSIRT構成員への権限付与は，CISO権限で行われる．また，他部局の構成員がセキュリティインシデントレスポンスする場合の根拠が明確になるように，本学では，CSIRT規程の中に部局毎にどの部局 CSIRTが合同で担当するのか明記してある．分割 CSIRTの運用等には大きな問題点はないと思われるが，将来的な統合は検討していく必要がある．組織改革で複数部局が統合された場合，統合当初は実質的な交流等が少ない場合が多い．分割 CSIRTは，このような場合の一時的な設置を想定している．しかしながら，組織統合は，人員面でのリソースの共有等も目的の一つであるので，分割 CSIRTは組織統合の進捗に従って基本的に解消されていく必要がある．. !"#$%&'()*+,. -".. $%&'(). *+,. /012$%&'()*+,. 3"./4567-"./4567. 3".. $%&'(). *+,. !"#$%&'()*+,. -".. $%&'(). *+,. /012$%&'()*+,. !"#/4567. 3".. $%&'(). *+,. !"#$%&'(). !*#$%&'(). 図 4: 学系内の CISRT体制. 2.4 セキュリティインシデントレスポンスの流れ. 本節では，図 5を用いて，本学における部局 CSIRT 導入後のセキュリティインシデントレスポンスの流れについての概略説明を行う．セキュリティインシデント発生等の通報（外部 SOC，ログ，部局CSIRTや学内ユーザ等）は，本部CSIRTに集約される．本学では，365日 24時間監視体制の外部 SOCと契約しており，セキュリティインシデントレスポンス開始のトリガーのほとんどは，外部 SOCからの通報 (セキュリティインシデント発生機器の IPアドレス情報含）である．通報後は，本部 CSIRTで通報内容の確認をし，速やかにネットワーク遮断を行う．通報内容から機器や管理者情報の確認作業は，主にネットワーク認証と連動したホスト登録システム上に構築された IP管理データベースを用いて行う．尚，夜間や休日などで外部 SOCから本学のCSIRT に連絡のつかない場合は，本学の判断を待たずに外部 SOCの判断で学外ネットワークとの遮断を行う．ネットワーク認証と連動したホスト登録システムは，. ネットワーク認証の黎明期から本学で開発運用してきたものである [5, 6, 7]．現在は，市販の製品の中にも同. - 121 -. 様機能のものがあるので，CSIRT 活動に用いやすいように再設計を行い市販製品への移行を 2019年に行った． IP管理データベース移行の詳細は，本論文の範囲を超えるので，別報告等の形で公開予定である．本学では， IPセグメント単位で部局等に IPアドレスの管理を移管（一部の小規模部局等は情報基盤センターで管理を代行）している．その管理責任者は原則的に部局 CSIRT リーダーであり，データベースへの登録や維持管理は部局責任となっている．そのため，部局 CSIRTは，ネットワークに接続されている自部局のネットワーク機器の詳細情報を容易に確認できる．また，本データベースに登録されていないネットワーク機器はネットワーク接続できない（無線 LANルータの配下の端末等を除く）ので，ネットワーク機器の全情報は本データベースに集約されている．本部 CSIRTは，全部局の登録データを閲覧等できるので，セキュリティインシデントが発生している IPアドレスを用いて，端末情報，ユーザ情報，担当部局 CSIRT，最終認証日時等のセキュリティインシデントレスポンスに必要な情報を即時に得ることができる． IP 管理データベースから得た情報をもとに，本部. CSIRT は，部局 CSIRT とセキュリティインシデント発生者に対して，機器情報，セキュリティインシデント内容，セキュリティインシデントレスポンス手順等の連絡を行う．対応手順には，ケーブル抜線や当該機器の保全（当該機器利用禁止，電源遮断禁止，張り紙等）が含まれるが，セキュリティインシデント発生者自身等で対応できない場合は，部局 CSIRTが行う．また，セキュリティインシデントレスポンス終了まで，当該機器の利用ができないため，本部CSIRTに抗議がよせられたり，利用停止の対応等を拒否される可能性がある．その場合には，学内規程等に従った義務となっていることを，部局 CSIRTからセキュリティインシデント発生者への説明を行っていただく．部局 CSIRTでは，部局長や構成員へのセキュリティインシデント発生の報告を行い，同様事象や関連事象がないか確認等を行う．その後，本部 CSIRTが現地調査を行うが，セキュリティインシデント内容によっては，部局 CSIRTも現地調査に立ち会う．緊急のセキュリティインシデントレスポンスの一次対応は，セキュリティインシデント分析結果などをもとに本部 CSIRTから指示された対策を行うことにより，終了する．その後の関係各所への報告，再発防止策の方針決定や実施などの二次対応は，相応の責任等も伴うので，技術職員や一般職員が中心メンバーであることが多い部局 CSIRTでの実行が難しい場合もある．そのため，部局情報セキュリティ委員会や教授会等の当該部局の意思決定組織が中心となって行うことが基本となる．しかしながら，小規模部局等の場合は，部局 CSIRT自身が. 行なっても問題ない場合が多く，部局情報セキュリティ委員会と部局 CSIRTのいずれで二次対応を行うかは，部局の実情に合わせて部局判断となる．ただし，本部 CSIRTから部局への連絡等は，部局情報セキュリティ委員会ではなく部局 CSIRTに行くので，部局 CSIRT は部局情報セキュリティ委員会の窓口業務を行う．二次対応として，本部 CSIRTでは，分析結果をもとに再発防止策なども含む報告書を作成し，部局 CSIRT等へ報告する．部局 CSIRT（又は，部局情報セキュリティ委員会等）では，その報告書をもとに，部局としての報告書を作成して，再発防止策の検討と実施を行う．. !"#$"%&'. ()*+,-./. 012345. 6789:6;. <=>?@A%BC. DE67. FG:HI. !"#$"%DEFJ:KL. MNOP:QR. 0STU:VW. XYZ[\]^ !"#$"%&'2. *012/. 6789:6;. <=>?@A%_`. FG:_`. 012a:. 45bcde,af !"#$"%&'. g45. YhZ[\]^. Yhij. klm@no pq23jr. s>%tN?uv. wxyz3jr. jr{:|}. ~&��G:. ��a_`. jr{:|}. !"#$"%�A�"A:KL. wxyz3jr. 012. 1�� 1�. Yh��:1�. :&'��g(). *Yhijklm@no��/. 図 5: セキュリティインシデントレスポンスの流れ. 3 部局CSIRT導入スケジュール等本節では，部局 CSIRT導入の主なスケジュールをも. とに，導入時に考慮した点等を説明する．全体的な流れとしては，2016年 8月から，情報基盤センター教職員と情報セキュリティ担当事務職員を中心としたワーキンググループで情報セキュリティポリシーの改訂原案を作成し，情報セキュリティポリシー委員会で審議しながら詳細を詰めて行った．最終的には，表 1にある 11月の情報セキュリティポリシー改定の中に反映させた．この流れは，通常のポリシー等策定手順の範囲であるので，本論文で詳細説明は行わない．. - 122 -. 表 1: 部局 CSIRT導入の主なスケジュール. 日時事項内容 2018年 7月 4日情報セキュリティポリシー説明会 (医歯学系) セキュリティポリシー改訂案の説明 2018年 7月 5日情報セキュリティポリシー説明会 (文理系) セキュリティポリシー改訂案の説明 2018年 7月 6日情報セキュリティポリシー説明会 (医歯学系) セキュリティポリシー改訂案の説明 2018年 7月 9日情報セキュリティポリシー説明会 (文理系) セキュリティポリシー改訂案の説明 2018年 7月 10日情報セキュリティポリシー説明会 (医歯学系) セキュリティポリシー改訂案の説明 2018年 7月 13日情報セキュリティポリシー説明会 (文理系) セキュリティポリシー改訂案の説明 2018年 11月 16日情報セキュリティポリシー改定全学の情報セキュリティ委員会での承認 2019年 1月 10日部局 CSIRT設置依頼 CSIRTの合同・分割を検討，構成員名簿作成 2019年 2月 28日部局 CSIRT設置案提出期限部局での検討結果提出 2019年 3月 1日部局 CSIRT規程別表の検討・作成開始各部局の担当部局 CSIRTを規程別表化 2019年 3月 29日部局 CSIRT規程承認,新大 CSIRT規程改定部局 CSIRT設置に伴う規程策定，改定等 2019年 11月１日部局 CSIRT説明会部局 CSIRTの業務説明・簡易訓練. 11月に予定していた情報セキュリティポリシーの大幅改定の前の月上旬には，全 6回（内容は全て同じ）の情報セキュリティポリシー説明会を行った．対象は，全教職員の希望者であったが，主な参加者は，学部，学科や研究室等においてセキュリティを中心に担当をしている教員や，部局 CSIRTが設置された場合に事務担当として構成員に組み込まれる予定の職員であった．情報セキュリティポリシー説明会では，技術面などの改定内容に加えて，部局 CSIRTの導入を柱とする新たなセキュリティ体制や部局 CSIRTの行う業務内容の説明を行い，質疑応答も丁寧に行った．また，その後の３ヶ月間程度も，パブリックコメントや再検討期間として，構成員の意見等を最終案に出来るだけ反映させた．従来のセキュリティポリシー改定等よりも構成員に丁寧に説明を行い，意見を広く聞くことにしたのは，部局 CSIRT が設置された場合，その部局 CSIRT構成員に任命されたものにとっては大学の正式業務となり，実際にセキュリティインシデント発生時には他の業務に優先させて行う必要もあるからである．また，大学全体としても正式に規程化されており，チームというような概念の実働組織を全部局が持つという類似の前例もないので，新しい組織形態の必然性等への理解が必要であった．構成員からの説明会等での意見では，部局 CSIRT導入に関して概ね好意的な賛同を得られた．これは，新潟大学では一部の例外を除き，部局情報セキュリティ委員会が実働組織として機能していなく，今後も委員会組織をセキュリティインシデント発生時などに即時対応できる組織としていくのも難しいであろうという本部 CSIRTの見解と一致していたからである．また，代表的な意見としては，部局 CSIRTを構築したとしても，セキュリティスキルの高い CSIRTを構築することは大半の部局では現実的に無理であるので，技術面については，本部 CSIRTが中心になって欲しいとのものであった．. 改定された情報セキュリティポリシーでは，部局 CSIRTの主な業務内容や組織構成が明記されたが，大学の正式な組織とするため，部局 CSIRT規程の制定と新大 CSIRT規程の改定作業を行った．実働可能な組織とするため，前節で説明した合同CSIRTや分割CSIRT という形態も関係部局間等で協議していただき，全組織に対する担当部局 CSIRT表を作成し，部局 CSIRT規程の別表とした．また，部局 CSIRTの主要構成員の名簿（CSIRT長，リーダー，副リーダー，事務担当）も作成した．説明会等では，部局 CSIRT規程や部局 CSIRTのセ. キュリティインシデントレスポンス手順という文書だけでは，実際のセキュリティインシデント発生を想定したような講習会や説明会を本部 CSIRTに実施して欲しいという要望が複数出た．そこで，2019年 11月には，簡易訓練を含む部局 CSIRT業務の説明会を実施した．簡易訓練では，仮想的なセキュリティインシデントをもとに，ロールプレイ（例：本部CSIRTから部局CSIRTへ部局教員端末のウィルス感染対応の連絡がきた時に，事務担当は自部局内の誰に何を伝えるのかなど）を考え，隣席者とディスカッションなどを行っていただいた．当初予定では，早い次期を予定していたのだが，簡易訓練の教材検討などもあり遅延したことが反省点であった． 2020年度からは，部局CSIRTメンバーの多い年度初めに同様の訓練等を行う予定であったが，新型コロナウィルス対応のため，現在の所，実施できていない．本学では，2019年 3月 1日の部局CSIRT規程策定時の部局CSIRT（部局情報セキュリティ委員会）を持つべき部局数は 39であった．実際に設置された部局CSIRT 数は 28であり，この内の二つは一つの部局CSIRTが分割されたものである．残りの26の内の7つは合同CSIRT である．最も合同化したのは，文系の６部局（学部，大学院，センター）が，合同したものである．以上，人事組織と実務組織などという二重組織の問題を解消しつ. - 123 -. つ，一つの部局で部局 CSIRTを運営するのが難しい部局は，関連部局で合同 CSIRTを構成するということでセキュリティスキルを持つ人員確保を行った．. 4 まとめと今後新潟大学では，2016年度から情報セキュリティ対策強化のため，セキュリティ体制の大幅な見直しと再構築を行ってきた．これまでは，部局のセキュリティインシデントレスポンスは，部局の情報セキュリティの維持・管理に責任を持つ部局情報セキュリティ委員会（又は，教授会，運営委員会等）が行ってきたが，基本的に会議体であるため速やかなレスポンスに支障が出ていた．そのため，新しく，責任組織としての部局情報セキュリティ委員会に加えて，実働組織としての部局 CSIRTを導入した．又，大学は，一人の教員が人事組織と教育組織の二つの組織に所属するなど，二重組織構造が多い．この場合，セキュリティインシデントレスポンスをどの組織が行うか初動対応に曖昧さがある．それを改善するため，合同部局 CSIRTと分割 CSIRTという概念を導入して，セキュリティインシデントレスポンスへの二重構造を改善するように，全学的な新たな CSIRT組織体制を構築した．実際には，部局情報セキュリティ委員会を持つべき部局数 39に対して，それらを網羅する形で 28の部局 CSIRTが設置された．今回の部局CSIRT（合同CSIRT,分割CSIRT含）導入により得られたメリット等をまとめる． i)セキュリティインシデント発生時に，本部 CSIRTと連携する部局側担当者の特定・確保が円滑に行えるようになり，本部 CSIRTと部局との連携体制構築までの初動遅延が発生しなくなった．従来は，本部CSIRTと連携するのは，部局情報セキュリティ委員会の委員代表やその代理者ということになっていたが，委員代表の多くは，教授や准教授等の教員であった．そのため，委員代表との連絡等もつかない場合が多く，現地での初動開始に数日かかることさえもあった．また，多くの教員は，教授会などのメーリングリストを除くと部局内全体や個別部署等への事務連絡の直接手段を持たないので，教員以外への連絡や周知に遅延が発生する場合があった．これは，チームとして複数名 (5～10数名程度）の実働組織とすることや事務担当を必ず加えることにより改善された． ii)技術職員や事務職員を中心構成員とすることが可能な公式な組織（規程で定義）としたことにより，部局内での CSIRT活動を円滑に行えるようになった．大学の委員会組織の場合，委員の多数は教員である．そのため，セキュリティインシデント発生時には，基本的に教員だけでセキュリティインシデントレスポンスを. 行なう部局が多かった．しかしながら，実際のセキュリティインシデントの一次対応，記録や報告等の事後処理などは，教員よりはむしろ事務職員や技術職員の方が適している場合が多い．部局 CSIRT導入により，部局内での CSIRT体制が，教員主体から事務職員や技術職員も含めた適材適所の体制に変わった．又，これにより，部局内のセキュリティ維持活動は，教員，事務職員，技術職員が一体として行うような意識改革が進んだ． iii)合同 CSIRT設置により，二重組織の問題点を改善した．本学では，例えば，学系や大学院の研究科が複数学部. と強く連携している．そのため，例えば，組織図上は大学院に所属してはいるが，実質上は特定学部の教員として活動している教員がセキュリティインシデントを発生した場合には，どの部局に連絡すればいいのかがケースバイケースであり，初動遅延が発生する場合が多かった．合同 CSIRT導入により，組織図上では他部局の担当を可能にし，本部 CSIRTから見たときの連絡先を可能なかぎり一意にした．これにより，セキュリティインシデント発生時の担当部局のたらい回しによる初動体制構築の混乱等を解消した．委員会や説明会経由の意見招集では，部局 CSIRT設. 置に肯定的な賛成意見が多数であり，否定的な意見は特に見られなった．主な意見は，部局CSIRTが設置されるとCSIRT構成員の業務負担増になるので，本部CSIRT からの技術サポートや教育を充実させて欲しいというものであった．部局 CSIRT設置に 2年近い時間を費やしたことを除くと，現在の所，デメリットと言える点は特に見当たらない．部局 CSIRTからの問い合わせが増加して，本部 CSIRTの負担は増えたが，部局への細やかな情報提供はもともと意図したものであり，部局のセキュリティ意識向上にもつながっている．今後は，部局 CSIRT構成員のスキルアップを目指し. た訓練の実施や各種手順書の充実を行い，大学全体のセキュリティレベルの向上をはかっていく予定である．又，直近では，コロナウィルス対策を理由にセキュリティインシデント現地調査を拒否された事例があり，リモート調査の手順も検討する必要が出ている．. 5 謝辞新潟大学に新しい CSIRT 体制を導入するにあたり，. 尽力していただいた大原センター長，宮北助教（現：国際情報大学講師），及び，情報基盤センターのスタッフに感謝します．. - 124 -. 参考文献 [1] JPCERTコーディネーションセンター, CSIRTガイド, https://www.jpcert.or.jp /csirt material/files/ guide ver1.0 20151126.pdf（2019年 5月 18日最終確認）.. [2] 日本シーサート協議会, CSIRT 構築から運用まで, NTT出版 (2016/11/21), ISBN978-4-7571-0369-6.. [3] 日本シーサート協議会 OU-CSIRT(大阪大学 CSIRT)情報; https://www.nca.gr.jp/member/ou- csirt.html. （2019年 5月 18日最終確認）. [4] 中西貴裕,福岡誠,金野哲士,田頭徹,鈴木健之, 田口慎,大内慎也,木村優太,加治卓磨,川村暁, 岩手大学における持続可能な情報セキュリティインシデント対応体制の構築,学術情報処理研究,No.22,pp.44- 53 (2018).. [5] 青山茂義,山本一幸,宮北和之,三河賢治,ホスト登録システムへの非利用 IPアドレスの特定機能実装と IP 棚卸し,学術情報処理研究,No.22,pp.23-30 (2018).. [6] 浜元信州,五十嵐瑛介,青山茂義,三河賢治, ホスト登録システムを利用したネットワークアクセス認証システムの運用,情報処理学会研究報告,Vol.2010-IOT-9 ,No.4,pp.1-6 (2010).. [7] 浜元信州,青山茂義,三河賢治, 全学ネットワークアクセス認証システムの導入,インターネットと運用技術シンポジウム 2009, IPSJ Symp. Series Vol. 2009, No.15, pp.1-8 (2009).. - 125 -