Janog11 発表ログ

1. タイトル 「プログラム8 JPCERT/CC Update」

2. 発表者: 山賀 正人
            JPCERT/CC 広報担当
            office@jpcert.or.jp

   記録者: 丸山 伸
            京都大学学術情報メディアセンター
            marushin@media.kyoto-u.ac.jp

3. 2003年1月24日 9:30〜9:50

4. 発表の焦点、論点、議題

  まず、JPCERT/CC から活動報告があった。
     - CERT/CC Vulnerability Notes の日本語版(のようなもの)を作ろうとしている
     - APSIRC 2003 を主催する
     - 報告様式の改訂をするべく準備をしている
         - IODEF を参考にしようとしているが、まだ研究段階
         - 報告者や報告内容に応じた様式が必要かどうか検討している
     - 人材募集

   そして、JPCERT/CC からの要望が挙げられた。
     - 人材募集
     - abuse 関係の報告先を用意して、whois に登録してくれるとうれしい
     - 定期的な報告を収集して統計情報としたいので、Probe のログなど
       を送って欲しい。

   その後 質疑応答 3件 

   という流れだった。


5. 発表内容詳細 (この部分は発表資料を補完する形式で記述しています)

JPCERT/CC から活動報告があった。

- CERT/CC Vulnerability Notes の日本語版(のようなもの)を作ろうとしている。

   JVN とは JPCERT/CC Vender Status Notes の略。
   CERT/CC Vulnerability Notes の日本語版もどきを作ろうとしている。
   当面は CERT/CC からの 公知の情報について、日本のベンダが公開している
   情報や、日本語に翻訳したページなどにリンクを張ったりして、
   ベンダー毎のセキュリティー情報のWebページへのリンク集を用意する。

   慶應と共同研究しているのは、データ交換フォーマットなどに関して
   「安全にやりとりするにはどうするか？」といったポイントで。

   JVN そのものについては 2月初旬には慶應の研究室で仮オープン予定。

   JPCERT/CC としては、秋には正式なサービスに移行するべく準備中。

   日本のベンダーでリンクを張ってほしいところは声をかけてほしい。


- APSIRC 2003 を主催する

   去年3月に東京でやった。今年もやる。
   2003 Feb 24,25 台北でやる。(日本主催なのに、会場は台北)
   これは APRICOT と一緒にやりたい と 山口 英 (奈良先端大学) が叫んだ。

   日本以外のところでイベントやるのは大変ということを実感している。

   今回の APSIRC2003 において APCERT の立ち上げをする予定。


- 報告様式の改訂をするべく準備をしている

   IODEF を参考にしようとしているが、まだ研究段階。

   IODEF (RFC 化の最中)を応用できないかを検討中。
   IODEF とは、Incident Object Data Exchange Format の略。
   XML をベースとしたもの。膨大なエレメントがありすぎるため、
   これをそのままでは使うわけにはいかない。

   IODEF とは、情報交換する際のフォーマット。これを使うための
   ユーザインタフェイスを作れないかと考えている。
   統一フォーマットを用意することで、スキャンデータの自動収集などにも
   役立つと考えている。

   奈良先端大学と共同で調査研究中。

   現実的に役立つものとして、報告者や報告内容に応じた様式を
   準備すべきか悩んでいる。


- 人材募集

   現状での JPCERT/CC の職員数は公表していない。

   長年の努力の結果として平成15年度、予算がついた。これを受けて
   今年中に人を倍に増やしたいと考えている。

   エンジニアリングとしては面白くない & 辛い仕事かもしれないが、
   とてもやりがいがある仕事。誰かいませんか？ 声かけてください。

   募集している人材
     - エンジニア
     - 語学堪能な人
     - 法律に詳しい人
     などなど


- 報告様式改訂における方針と悩み

   先の IODEF というのは、まだ机上の空論に近い。
   これを待たずに、もう少し使いやすいものにしたいと考えている。

   これまで報告書様式が使いにくかった原因は、報告様式の利用者の
   ターゲットをしぼれていなかったため、これに書き込む人(対象)を
   限定して考えられていなかった。
   そのため書式が不明瞭だった。このターゲットをどうすればいいのか
   悩んでいる。

   また、報告するインシデント毎に報告すべき内容が異なるので、
   いっそ書式にせずガイドラインにしようかという議論もある。

   記述項目を減らし、JPCERT/CC に何をして欲しいのかを明確にできる
   ような書式を目標に準備している。


- インシデント対応業務
  (abuse 関係の報告先を用意して、whois に登録してくれるとうれしい)

   JPCERT/CC の業務の半分以上は、海外からの連絡仲介依頼。
   しかし、この際の連絡先が不明である場合が多い。

   JPCERT/CC としては通常 whois データベースを使っている。
   しかし、whois で得られる情報は個人名であったり、情報が古く
   担当者不明になっていたりすることが多い。

   こういう時に「abuse 関係のメールアドレスはどこなのか？」が問題
   となる。

   専用受け付けアドレスを whois データベースに登録するというのは
   どうだろうか？皆さんの意見が聞きたい。

 (参考)
   海外の動向
   APNIC では WHOIS に Description 項目に Abuse 関係の連絡先情報
   が入っているので、それと同じように日本の whois にも同種の情報
   を追加してもらうというのはどうだろうか？


- 定期的な報告を収集して統計情報としたいので、Probe のログなど
  を送って欲しい。

   そのためにも機械的に扱いやすい報告書の様式(IODEF を参考に?) を
   用意して、Probe などの報告を次々と送ってもらえるような仕組みを
   作りたい。

   JPCERT/CC としては、まずはこれらの情報を集めて、統計情報として
   公開したい。

- 次回また、JANOG12 で会いましょう

-------------------------------------------------------------------

6. 質疑応答

質問者: SRS の田中さん

田中)
  報告するべきセキュリティインシデントの範囲が不明瞭。
  社内のカスタマサポートから質問がでた。「CERTって何ですか？」

  すなわち、広く情報を取ろうとすると、その最前線はカスタマー
  サポートのような非技術者が担当となってしまう。
  そのため、報告様式を難しくすると技術的に対応できない。
  逆に報告様式をなくして、事象毎の報告ガイドラインとかにすると
  報告内容がむちゃくちゃになりかねない。

  どう考えているのか？

  もう1点 abuse 観点からの情報提供。
  うちのユーザーが意図せず (勝手にクラックされて) 海外に DoS攻撃を
  している例が多い。こういう時には海外の CERT から連絡がくる。
  そういった事象に対応するために、SRS の whois 情報は tanaka@
  sakura にしつつ、そこに送られたメールは abuse メーリングシルトに
  CC するようにしている

回答:

山賀)
  1点目。
  JPCERT/CC に対して、「どういうのを送ったらいいんですか？」と直接的に
  質問してくる人がいる。こういう場合には「どんな形であってもかまい
  ません。ログも適当な分量でよい。」と回答している。

  いまのところ、何十MB ものデータを送ってきた人はほとんどない。
  要は送る側にとって適当なサイズであれば、何でもいい。

  そもそも報告様式云々より、インシデント毎に内容は変化する。
  こういった「何を報告すべきかガイドライン」を書けばいいのかな？

  例) 「Nimda の報告をする時にはこんな感じ」とか...

  こうするとインシデントはいろんなものが出てきてしまうので、どこに
  サジ加減をおけばいいのかがわからない。

  また、各報告者のカスタマサポートとはどういう人達なのかが JPCERT/CC
  からは見えにくい。

田中)
  技術者から送られてきたものであればいいのだが、お客から来ることもある。

山賀)
  週に1度など、定期的にレポートを送ってくれる人もいる。
  ただ、こういう送り方をする際にどういうフォーマットで送るのかが
  報告者により一定していない。
  こういう時のために、書式を統一した方がいいのかなぁ？
  なお、JPCERT/CC としては、週に1度とか月に1度とかインシデントを報告
  してくれることは大歓迎。

------

質問者: JANOGスタッフ のだれか

質問)
  IDS のログを JPCERT に送るための変換ツールが欲しい

山賀)
  現在、代表的な Scan Probe データのログフォーマットを調査中。
  これを変換するためのスクリプトを JPCERT/CC が作るかどうかはともかく、
  報告に適切な情報交換フォーマットを研究中。

  データを送ってもらえれば、リアクションはしないけど、統計データとして
  活用します。


------

質問者: JANOGスタッフ 近藤 さん

質問)
  基本的には情報をくれと言われたときに、

  何らかのインシデントが発生し、それらに緊急対応をしないといけないとき、
  この一連の対応がおわっった時に「は〜、おわった〜」となってしまう。
  その作業に 「JPCERT へ報告をする」というものが入っていない。

  その理由としては、「統計データとして蓄積します」というだけで
  見返りがないからではないか？

  なにか JPCERT へ報告をするメリットというものを出してほしい。

山賀)
  我々もどのように社会に還元する情報を発信をしていけば良いかを考えている。
  現在は統計情報が主だが、攻撃と scan の傾向には関係がある。
  まずは統計情報がそろってくれば、こういう点でも役立つのではないか？



----------------------------------------------------------------------

7. ロガーとしての所感

まずは「JPCERT って大変そう〜」。

最後の質問が非常に重要なものだと思う。

ちょうど予算が付いたということもあり、しっかりと人を増やして頂き、
一般の管理者にとって

「JPCERT に報告しておくことのメリット」
「JPCERT という組織が日本に存在することのメリット」

を今後どのように出していくのかが、重要になってくるのだろう。