ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB09001:みんなで「情報セキュリティ」強化宣言!2009

みんなで「情報セキュリティ」強化宣言!のページへ みんなで「情報セキュリティ強化宣言の輪」ソフトウェア事業部のページへ みんなで「情報セキュリティ強化宣言の輪」ソフトウェア事業部のページへ

株式会社日立製作所

活動内容
情報セキュリティ対策推進コミュニティ2009への参加を通して日立グループの脆弱性対策ならびにインシデント対応に関する取り組みを紹介します。また今後も、”「情報セキュリティ」強化宣言の輪”を日立グループに広げながら、取り組み内容をいろいろな側面で紹介していきたいと思います。

  • みんなで「情報セキュリティ」強化宣言!情報セキュリティ対策推進コミュニティのサイトはこちら

HIRTでは、日立グループに、みんなで「情報セキュリティ」強化宣言の輪を広げていきます。

“みんなで「情報セキュリティ」強化宣言の輪”2009年日立参加組織

日立グループのセキュリティ情報発信について

2009年は、事業部ならびにグループ会社と共に進めている、日立グループでの脆弱性対策やインシデント対応に伴う情報発信についてご紹介します。

3緊急度レベル x 3階層レベル型の情報発信

HIRTでは、3緊急度レベル x 3階層レベル型の情報発信を日立グループ全体で推進しています。 これは、脆弱性対策ならびにインシデント対応のセキュリティ情報を発信するにあたり、まず緊急度のレベル「(1)緊急度のレベル」を判断し、次に情報掲載に対応するWebサイト/Web階層ページ「(2)階層レベル」を選択するというアプローチです。

図1:3緊急度レベル x 3階層レベル型の情報発信
図1:3緊急度レベル x 3階層レベル型の情報発信

(1) 緊急度レベル

緊急度のレベルは、「高・中・低」の3つに分けています。技術的な脅威だけではなく、情報セキュリティ問題の社会的な認知度を踏まえ、表1に示すような基準となっています。

表1:緊急度レベル
緊急度 状態 目安
【警戒態勢の状態】
グローバルネットワークに対するインシデントが進行中である。
US-CERT、JPCERT/CC、情報処理推進機構などの緊急対応チームが緊急情報として取上げ、さらに、マスコミ(一般紙、ニュース)が取上げた。
【警戒を必要とする状態】
まだインシデントは発生してはいないが侵害活動を予想できる、あるいは、部分的なインシデントが発生している。
US-CERT、JPCERT/CC、情報処理推進機構などの緊急対応チームが注意喚起情報として取上げた。
上記以外 上記以外

(2) 階層レベル

日立製品に関連するセキュリティ情報の発信にあたり、Webサイト/Webページを、「第1層、第2層、第3層」の3段階に分けて考えます。これは、緊急度のレベル、情報展開のスピードや展開範囲に応じた情報発信を行なうためです。

具体的には、下記のように区分しています(詳細は表2参照)。

  • 第1層:日立のトップページ
  • 第2層:セキュリティ情報統合サイト(HIRT運用)
  • 第3層:日立グループのセキュリティ情報発信サイト(各事業部・グループ会社運用)
表2:階層レベル
  URL 役割
【日立のトップページ】

日立のトップページ

「日立のトップページ」が第1層となります。最も緊急度が高く、社会的に大きな影響があると判断し、早くかつ広く緊急情報を展開する場合に掲載します。これまでに掲載した例として、2003年8月に国内に流布したBlasterワームに関する緊急情報があります。
【セキュリティ情報統合サイト】

HIRTセキュリティ情報統合サイ

HIRTが運用している、「セキュリティ情報統合サイト」が第2層を担っています。本サイトでは、緊急情報、注意喚起情報の掲載だけではなく、日立グループの各組織が発信している製品セキュリティ情報を統合的にまとめるため、リンク先情報を集約し、 http://www.hitachi.co.jp/hirt/security/ に掲載しています。
【日立グループのセキュリティ情報発信サイト】

セキュリティ情報発信サイト

各事業部・グループ会社が運用している「セキュリティ情報発信サイト」が第3層を担っています。各事業部・グループ会社が個別に扱っている製品のセキュリティ情報を掲載しています。

情報発信に関する参考情報

セキュリティ情報の発信について

http://www.hitachi.co.jp/hirt/security/security.html
セキュリティ情報統合サイトの目的と役割について紹介しています。

RSSディレクトリを用いた日立セキュリティ情報の発信

http://www.hitachi.co.jp/hirt/publications/hirt-pub07002/index.html
 「情報セキュリティ早期警戒パートナーシップガイドライン」に対応した、日立グループにおける日立製品に関わるセキュリティ情報発信のフレームワークについて紹介しています。

日立グループでは、お客様や社会の安心かつ安全なネットワーク環境の実現に寄与することを目的として、2004年 10月よりコンピュータセキュリティインシデントに対応する組織として、HIRT(Hitachi Incident Response Team)を立ち上げました。HIRTでは、製品ならびにサービスの脆弱性対策、ウイルス被害や情報漏えいなどのインシデント対応を先導していくことで、この使命を果たしていきたいと考えています。

更新履歴

2009年2月9日
  • このページを新規作成および公開しました。

寺田/HIRT、名執/HIRT