GSOC

GSOCの概要

GSOCは、政府機関のサイバーセキュリティを横断的に管理するため、内閣官房内閣サイバーセキュリティセンター（NISC）に設置される体制のことを指します。2007年に体制が構築され、翌2008年4月から1日8時間の限定的な監視運用がスタートしました。その後、体制が強化され、2009年1月からは24時間365日の本格運用に移行しています。

当初は内閣サイバーセキュリティセンター（NISC）が運用し、政府機関を対象とする「第一GSOC」のみでしたが、監視対象の拡大にともない、2017年4月には独立行政法人などを対象とした「第二GSOC」が設立されました。第二GSOCの運用は独立行政法人情報処理推進機構（IPA）が担当し、第一GSOCと連携して政府関連機関全体のセキュリティ体制を強化しています。

GSOCの役割

GSOCは、各府省庁の情報システムや利用しているクラウドサービス、ウェブサイトなどを監視し異常があった場合は通報するとともに、最新の脆弱性情報などを収集・共有・分析し、他の機関とも協力しながら政府機関全体のサイバーセキュリティ対処能力の向上を図っています。具体的な業務は、以下の通りです。

クラウドの監視

ガバメントソリューションサービス（GSS）^（※1）などのクラウドで稼働するシステムを、GSOC独自の監視ポリシーに基づいて、24時間365日体制で監視。緊急度に応じて通報を行い、被害拡大を防止する。

※1：デジタル庁が提供する、政府職員のための政府共通の標準的な業務実施環境（業務用PCやネットワーク環境）。

DoS攻撃/DDoS攻撃などの把握

すべての「go.jp」ドメインのウェブサイトの稼働状況を24時間体制で監視し、異常があった場合は各府省庁に通報を行う。国立研究開発法人情報通信研究機構（NICT）の観測網とも連携し、オペレーション体制や大局的な情報把握を強化。

サイバー情勢の認識

GSOCシステムの監視結果や、各府省庁でのインシデント情報、NICTやIPAなど国内の協力機関からの情報、NISC内の他グループのOSINT情報などを統合的に分析し、最新のサイバー情勢を的確に把握する。

IoC/TTPの生成・共有

各種ソースのIoC^（※2）やTTP^（※3）を生成して横断的監視に活用、また協力関係にある各関係機関とも連携する。実際にインシデントが発生した際には、平時から構築した情報共有ネットワークを活用し、被害拡大を防ぐ。

※2：Indicator of Compromise（侵害指標）の略称で、システムやネットワークがサイバー攻撃を受けた可能性を示すデータ。
※3：Tactics, Techniques and Proceduresの略称で、サイバー攻撃者の戦術・技術・手順を表すもの。

脆弱性情報の収集

最新の脆弱性情報をトリアージして提供する。また、ダークウェブなどに漏えいしたID、パスワードなどのクレデンシャル情報について対応を助言。

サイバーセキュリティ対処能力の底上げ

最新のサイバーセキュリティに関するトピックを「GSOCにゅーす」として各府省庁に配信。そのほか、情勢認識を対面で共有する活動報告会や、政府職員等を対象としたサイバー競技大会「NIST Capture The Flag（CTF）」を実施。NIST CTFでは、実際のインシデントに基づいた作問を行う。

不正プログラムの分析

GSOC関連機関で入手した不審なメールやマルウェアの検体解析を実施し、結果を共有およびGSOCの横断的監視にフィードバックする。

インシデント情報の収集

政府統一基準などに基づいて、政府機関で発生したサイバーインシデントを主体的に収集。センサーによる検知情報や各機関からの報告など、複数の情報源と組み合わせて、インシデントの対処・分析に活用する。

NICT、IPAなど関連機関との連携

NICTやIPAの持つ人的・システムリソースと連携し、多角的な協同分析を推進する。

GSOCの活動事例

GSOCの活動成果を示す代表的な事例として、2015年5月に発生した日本年金機構からの情報流出事件が挙げられます。この事件では、GSOCが最初に不審な通信を検知し、厚生労働省を通じて日本年金機構に連絡しました。しかし、当時、特殊法人はGSOCの監視対象外とされていたため、迅速な対応がとられませんでした。

その結果、対応が間に合わず個人情報が流出してしまいましたが、GSOCによる早期検知が被害状況の把握や対応策の策定において重要な役割を果たした事例といえます。この情報流出事件は、独立行政法人などを対象とした第二GSOC設置のきっかけにもなりました。

GSOCは、こうした活動を通じて、政府機関全体のサイバーセキュリティの強化に寄与しています。

参考情報