JPNIC News & Views vol.1646【臨時号】第103回IETF報告 [第3弾] セキュリティエリア関連報告～オペレーション関連技術の動向 CACAO/SMART～

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    __
    /Ｐ▲        ◆ JPNIC News & Views vol.1646【臨時号】2018.12.12 ◆
  _/ＮＩＣ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
---------- PR --------------------------------------------------------
【TOHKnet（トークネット）　東北インテリジェント通信株式会社　】
┏◆◇つなげる力を、明日のために。◆◇━━━━━━━━━━━━━━━┓
┃ 事業所間ネットワーク・インターネット・クラウド等のサービスや　　 ┃
┃ お客さまの導入事例をHPにてご紹介中！ 詳しくはこちらから↓        ┃
┗━━━━━━━━━━━━━━━━━━━  http://www.tohknet.co.jp/ ┛
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1646 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

2018年11月上旬にタイ・バンコクで開催された第103回IETFミーティングのレ
ポートを、vol.1644より連載にてお届けしています。

連載第3弾となる本号では、CACAOとSMARTというセキュリティに関連する検討
を行っている二つの取り組みについて、サイドミーティングでの議論内容を
中心に取り上げます。

次号以降では、トランスポート関連およびDNS関連の動向をご紹介する予定で
す。これまでに発行した第103回IETFの報告については、下記のURLからバッ
クナンバーをご覧ください。

  □第103回IETF報告

    ○[第1弾] 全体会議報告 (vol.1644)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2018/vol1644.html

    ○[第2弾] SUITとIETF Hackathon ～IoT機器の安全なファームウェア更
              新から～全体会議報告 (vol.1645)
    https://www.nic.ad.jp/ja/mailmagazine/backnumber/2018/vol1645.html

なお、本バンコク会合のオンサイトでの報告会を、今週12月14日(金)に東京・
神田のNATULUCK神田駅前 会議室にて、ISOC-JPとJPNICの共催で開催します。
興味を持たれた方はこちらもぜひご参加ください。

    IETF報告会(103rdバンコク)
    https://www.isoc.jp/wiki.cgi?page=IETF103Update

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 第103回IETF報告 [第3弾]  セキュリティエリア関連報告
   ～オペレーション関連技術の動向 CACAO/SMART～
                            国立研究開発法人 情報通信研究機構 高橋健志
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

本稿では、2018年11月にバンコクにて開催された第103回IETF会合(IETF 103)
のうち、CACAOおよびSMARTについて、筆者の立場からレポートします。CSIRT
やSOC等の興味を引きそうな、セキュリティオペレーション関係の技術を扱う
WGがここ数年いくつか登場してきていますが、今回のIETF会合では、CACAOと
SMARTという2グループのサイドミーティングが実施されました。本記事では、
これらのグループがどこをめざして活動しようとしているのか、その概要と
議論の現状について説明します。


■ サイドミーティング活動の活性化に向けた試み

本記事で紹介しようとしているCACAOとSMARTは、どちらもIETF 103ではサイ
ドミーティングという形でセッションが設けられました。サイドミーティン
グと言うと、これまでまったく目を向けなかった方も多いかもしれませんが、
最近の傾向としてIETFではその活動の活性化が促されていて、今回のIETF 103
においても、そのための試みがいくつかなされています。

その一つが、WGのセッション割り当てが月曜日から木曜日までとなったこと
です。これにより、サイドミーティング開催日を金曜日とした際には、WGと
バッティングしない形でサイドミーティングを開催することができます。し
かしながら、結果的に日程を短縮して帰国してしまう参加者も多かったよう
で、金曜日に開催されたサイドミーティングの中には、ほとんど参加者が集
まらなかったものもあるなどの声も聞こえてきています。

また、今回はHot RFC Lightning Talksというセッションが、日曜日のbanquet
後に(正確にはbanquetと1時間重複して)開催され、そこでさまざまなサイド
ミーティングの簡単な紹介、すなわち客寄せのための宣伝がなされていまし
た。

上記のような活動の甲斐もあり、IETF 103ではサイドミーティングに目を向
けた参加者も多かったのではないでしょうか。私はその中のCACAOとSMARTに
興味を持ち参加しましたので、それらのグループの活動について下記に紹介
します。


■ Collaborative Automated Course of Action Operations (CACAO)

CACAOでは、2018年9月にメーリングリスト(ML)が設立され、そこでの議論を
経て、今回のIETF 103にてサイドミーティングが開催されました。既に
Internet Draft (I-D)という形で、CACAOで検討したいことは文書化され、公
開されています。

  https://tools.ietf.org/html/draft-jordan-cacao-introduction-00

〇CACAOで実現したいこと

上述のドラフトにも記載されていますが、CACAOでは、セキュリティ対策をは
じめとした各種セキュリティオペレーションを、機械可読な形で記述できる
ように、情報モデルや表現方法、言語などを定義することを第1目的としてい
ます。それにより、対策が機械処理できるために高速化されることはもちろ
んのこと、熟練したオペレータのノウハウを共有し、再利用することができ
るようになります。

CACAOではその他、その機械可読な形で記述された情報を効果的に共有するた
めの、トランスポート層技術についても検討するとしていますが、ここにつ
いては優先順位は下げられています。

〇IETF 103での議論の状況

CACAOの活動は、目標が実現できるならばその重要性は非常に高いものの、実
現にはかなりの年月を要するのではないかとの意見が出されました。IETFの
WGは、数年で成果を出すことが求められるため、その規模に見合った課題の
整理ができるかどうかが問われています。そのため、CACAOは今後のWG設立に
向けて、より具体的な成果目標を定めるなどの検討が求められています。

同時に、本活動が本当にIETFで実施されるべきものなのだろうかという議論
もなされました。CACAOの重要性については反対意見はなく、もしWGが設立さ
れることになれば協力したいという意見も出ていますが、ここで問題となっ
ているのは、本活動を実施する場としてIETFが本当に適切なのかどうか、と
いうところです。

実際、今回のサイドミーティング開催情報はHot RFC Lightning Talksでも紹
介されていたにもかかわらず、参加者は非常に少なかったです。元々、SOCや
CSIRTが実施するセキュリティオペレーションに関する活動は、IETFの主流で
はないため、参加者が限られるのは仕方がない部分もあります。また、開催
日が火曜日の夜であり、後述するSMARTよりも魅力に欠ける時間帯であったこ
ともその要因の一つです。とはいえ、本当にWGを設立するのであれば、まだ
まだ参加者を増やす努力をしていく必要があり、興味を持つ人をどれだけ集
められるかが、CACAOがIETFにて活動できるかどうかの分かれ目になります。

CACAO提案者は、必ずしも本活動をIETFでしなければならないとは考えておら
ず、これまでもSTIX (Structured Threat Information eXpression)コミュニ
ティでの活動展開を検討してきた経緯があるようです。現在は、IETFにて規
格を作成し、それをSTIXから参照してもらうことを考えています。CACAOは、
次回のIETF 104にてBoF開催を実現すべく、賛同者を広めるための活動を今後
進めていくことでしょう。


■ Stopping Malware and Researching Threats (SMART)

SMARTでは、2018年9月にMLが設立され、そこでの議論を経て、今回のIETF 103
にてサイドミーティングが開催されました。いまだResearch Group (RG)には
なっておらず、BoFすら開催されていない段階にありますが、着実にRG設立に
向けて動き出しているように感じています。

〇SMARTで実現したいこと

これまでに、既にcharter案が議論されています。現時点ではいまだ議論の叩
き台という域を出てはいませんが、通信が暗号化されていく中で、既存のサ
イバー攻撃対策技術が果たしてセキュリティ要件を満たしていけるのか、も
しくは今後どのように変わっていくべきかについて検討していくのが、SMART
RGの目的であるとされています。

具体的な活動内容としては、既存および将来の攻撃対策技術が与える影響を
検討すべく、攻撃手法に関する痕跡を集めていくことが挙げられています。
そして、その結果を共有することにより、新たなプロトコルの設計、実装、
利用の際に、各種対策の有効性やその潜在的影響についての理解を深めるの
に役立てたいとのことです。

SMARTの活動を通じ、課題認識やユースケース、ケーススタディなど、さまざ
まなアウトプットが期待されますが、これらはI-Dの他、ポリシーペーパー、
研究ペーパー、ベストプラクティスペーパーなどの形式にて打ち出していく
ことが検討されています。

〇IETF 103での議論の状況

今回のIETF 103では、SMARTのサイドミーティングが開催されました。部屋が
そもそも狭いこともあり、本ミーティングは満席でした。木曜日のすべての
セッションが終わった後の、ディナー前の時間に行われていたこともあり、
参加するのに都合が良かったというのも、参加者が多かったことに寄与して
いるとは思います。それでも、閑古鳥が鳴いているサイドミーティングもあ
る状況と比較すると、IETF/IRTFではかなり前向きにとらえられていると私は
感じています。

サイドミーティングでは、SMARTをIRTF RGとして設立していく強い意志表明
と、活動内容の紹介、charter案の説明、検討課題案の議論、後述するCARIS2
workshopの紹介などが実施されました。

議論の内容としては、反対意見はありませんでしたが、その中身をもう少し
具体化していき、scopeをより明確化したいという議論がなされました。ま
た、実際にSMARTに貢献してくれそうな人の候補が議論されました。本件に関
してはMLでも議論されていましたが、IRTFでは実際に手を動かして貢献して
くれる人を確保するのが非常に難しく、事前にどれだけの実働者を確保でき
るかが非常に重要になります。ある程度の見込みはあるようですが、もっと
広くPRしていくことが重要との認識の下、CARIS2 workshopを成功させるため
に尽力しようとの方向性で、進んでいます。

〇CARIS2: Coordinating Attack Response at Internet Scale 2

上述の通り、SMART RG立ち上げをPRする役割を担っているCARIS2 workshopで
すが、既にWebが立ち上がり、Call for paperが存在しています。

  https://www.internetsociety.org/events/caris2

workshop自体は、2019年2月28日から3月1日の2日間の日程で、米国マサチュー
セッツ州のケンブリッジにて開催されます。

CARIS2は、ISOC主催のworkshopになりますが。本workshopは2回目の開催とな
ります。CARISの最初のworkshopは2015年に実施されており、その状況は
RFC8073にて報告されています。

  https://www.rfc-editor.org/rfc/rfc8073.txt

最近はIETFでもCSIRTやSOC等、セキュリティオペレーションに関連する方々
の参加が増えてきていますが、これらの方々はIETFのコアな領域の方ではな
かったため、これらの方々をIETFの活動に巻き込んでいくという意義もあっ
て、CARIS workshopは開催されてきていると私は認識しています。同様の目
的を担いつつも、特に今回はSMART RG立ち上げに向けた具体的な課題検討を
一気に推し進めることが、大きなミッションとなっています。

CARIS2 workshopは通常の技術ペーパーの他に、ポジションペーパーも受け付
けています。逆に、ペーパーの著者(共著者)であることが本workshop参加の
条件になっているため、数十人程度の規模のworkshopになることが想定され
ます。これは、参加者数を稼ぐよりは、SMART RGを実際に意識して議論でき
る方に集まってもらいたいという目的意識があるために、そのようにされま
した。どれぐらいのペーパーが集まるかは現時点では未知数ですが、この
CARIS2 workshopの成果を踏まえてSMART RG立ち上げの検討が進められ、次回
会合にて改めて何らかのセッションが用意されると考えています。


■ 既存WGでの活動状況

上述のCACAOおよびSMARTのサイドミーティングの参加者を見ると、おそらく
MILE (Managed Incident Lightweight Exchange )およびSACM (Security
Automation and Continuous Monitoring)、DOTS (DDoS Open Threat
Signaling)あたりのWG参加者との重複が大きいように思います。そこでここ
では、MILE、SACM、DOTSの現状についても軽く紹介します。

ここ数年のIETFにおいて、CSIRT系で最も長く活動してきているWGはおそらく
MILEであり、ここではインシデント情報の効率的な共有技術について検討を
続けてきています。もう既に、charterに記された役割をすべて完了する時期
が近付いていると感じていますが、現時点ではあと三つほどドラフトが残っ
ています。具体的には、IODEF (Incident Object Description Exchange
Format)のCBOR (Concise Binary Object Representation)/JSON (JavaScript
Object Notation)表記、XMPP-Grid、CSIRT ROLIE (Resource-Oriented
Lightweight Information Exchange)の三つです。この三つとも、順調に進捗
してきており、あと1年以内に完了できるかどうか、というところまで来てい
ると感じています。

セキュリティベンダーやSOCなどが興味を持ちそうな技術を検討しているグ
ループとしてSACM、およびDOTSが存在しますが、SACMについてはエンドポイ
ントでのセキュリティ監査・対策技術などを、DOTSについてはDDoS対策技術
について検討を続けてきています。これまでも継続的にIETFで活動を続けて
きており、これらはまだしばらく発展することが予想されます。

なお、CACAOはSACMやDOTSとも多少重複する領域があります。例えば、脆弱性
を特定するスクリプト言語などはSACMの領域であり、DDOS対策のためのシグ
ナリング技術はDOTSの領域です。CACAOでは、このような技術の存在について
も認識しており、今後徹底的に調査し、利用できるものはそのまま再利用す
る方針で技術検討を進めていくようです。


■ おわりに

CACAOやSMARTのように、CSIRTやSOC等に強く関連するセキュリティオペレー
ション技術が、最近IETFでも取り上げられるようになってきました。これら
の技術が、IETFにて本格的に活動を開始するかどうかは現時点では確定して
いませんが、サイバーセキュリティを着実に向上していくためには、こういっ
た活動は非常に重要です。こういった活動が、より多くの賛同者を集めて、
検討されていくことに期待したいと思います。


     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
          まわりの方にもぜひNews & Viewsをオススメください！
      転送にあたっての注意や新規登録については文末をご覧ください。
                  ◇              ◇              ◇
       わからない用語については、【JPNIC用語集】をご参照ください。
             https://www.nic.ad.jp/ja/tech/glossary.html
     ～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃     ◆◇◆◇◆   本号のご感想をお聞かせください   ◆◇◆◇◆     ┃
┃良かった                                                          ┃
┃  http://feedback.nic.ad.jp/1646/c087d1b72af65bc186f44fd76e62579a ┃
┃                                                                  ┃
┃悪かった                                                          ┃
┃  http://feedback.nic.ad.jp/1646/7efec604d31bc5efd682898035d133d3 ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■  JPNICの活動はJPNIC会員によって支えられています  ■■■■■
  :::::  会員リスト  ::::: https://www.nic.ad.jp/ja/member/list/
  :::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━  N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛          お問い合わせは  jpnic-news@nic.ad.jp  まで          ┗┛
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 JPNIC News & Views vol.1646 【臨時号】

 ＠ 発行  一般社団法人 日本ネットワークインフォメーションセンター
          101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
 ＠ 問い合わせ先  jpnic-news@nic.ad.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
            本メールを転載・複製・再配布・引用される際には
        https://www.nic.ad.jp/ja/copyright.html をご確認ください
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
   ◇ JPNIC Webにも掲載していますので、情報共有にご活用ください ◇
登録・削除・変更   https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー     https://www.nic.ad.jp/ja/mailmagazine/backnumber/
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■     News & ViewsはRSS経由でも配信しています！    ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

■■◆                          ＠ Japan Network Information Center
■■◆                                     ＠  https://www.nic.ad.jp/
■■

Copyright(C), 2018 Japan Network Information Center
このページを評価してください
