株式会社日立製作所
活動内容
情報セキュリティ対策推進コミュニティ2009への参加を通して日立グループの脆弱性対策ならびにインシデント対応に関する取り組みを紹介します。また今後も、”「情報セキュリティ」強化宣言の輪”を日立グループに広げながら、取り組み内容をいろいろな側面で紹介していきたいと思います。
HIRTでは、日立グループに、みんなで「情報セキュリティ」強化宣言の輪を広げていきます。
2009年は、事業部ならびにグループ会社と共に進めている、日立グループでの脆弱性対策やインシデント対応に伴う情報発信についてご紹介します。
HIRTでは、3緊急度レベル x 3階層レベル型の情報発信を日立グループ全体で推進しています。 これは、脆弱性対策ならびにインシデント対応のセキュリティ情報を発信するにあたり、まず緊急度のレベル「(1)緊急度のレベル」を判断し、次に情報掲載に対応するWebサイト/Web階層ページ「(2)階層レベル」を選択するというアプローチです。
図1:3緊急度レベル x 3階層レベル型の情報発信
緊急度のレベルは、「高・中・低」の3つに分けています。技術的な脅威だけではなく、情報セキュリティ問題の社会的な認知度を踏まえ、表1に示すような基準となっています。
| 緊急度 | 状態 | 目安 |
|---|---|---|
| 高 | 【警戒態勢の状態】 グローバルネットワークに対するインシデントが進行中である。 |
US-CERT、JPCERT/CC、情報処理推進機構などの緊急対応チームが緊急情報として取上げ、さらに、マスコミ(一般紙、ニュース)が取上げた。 |
| 中 | 【警戒を必要とする状態】 まだインシデントは発生してはいないが侵害活動を予想できる、あるいは、部分的なインシデントが発生している。 |
US-CERT、JPCERT/CC、情報処理推進機構などの緊急対応チームが注意喚起情報として取上げた。 |
| 低 | 上記以外 | 上記以外 |
日立製品に関連するセキュリティ情報の発信にあたり、Webサイト/Webページを、「第1層、第2層、第3層」の3段階に分けて考えます。これは、緊急度のレベル、情報展開のスピードや展開範囲に応じた情報発信を行なうためです。
具体的には、下記のように区分しています(詳細は表2参照)。
| URL | 役割 | |
|---|---|---|
| 高 | 【日立のトップページ】
|
「日立のトップページ」が第1層となります。最も緊急度が高く、社会的に大きな影響があると判断し、早くかつ広く緊急情報を展開する場合に掲載します。これまでに掲載した例として、2003年8月に国内に流布したBlasterワームに関する緊急情報があります。 |
| 中 | 【セキュリティ情報統合サイト】
|
HIRTが運用している、「セキュリティ情報統合サイト」が第2層を担っています。本サイトでは、緊急情報、注意喚起情報の掲載だけではなく、日立グループの各組織が発信している製品セキュリティ情報を統合的にまとめるため、リンク先情報を集約し、 https://www.hitachi.co.jp/hirt/security/ に掲載しています。 |
| 低 | 【日立グループのセキュリティ情報発信サイト】
|
各事業部・グループ会社が運用している「セキュリティ情報発信サイト」が第3層を担っています。各事業部・グループ会社が個別に扱っている製品のセキュリティ情報を掲載しています。 |
日立グループでは、お客様や社会の安心かつ安全なネットワーク環境の実現に寄与することを目的として、2004年 10月よりコンピュータセキュリティインシデントに対応する組織として、HIRT(Hitachi Incident Response Team)を立ち上げました。HIRTでは、製品ならびにサービスの脆弱性対策、ウイルス被害や情報漏えいなどのインシデント対応を先導していくことで、この使命を果たしていきたいと考えています。
寺田/HIRT、名執/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
