2018/9/5

スタートは「名ばかりCSIRT」でいい。重要なのは、どう進化させるか。

  • このエントリーをはてなブックマークに追加

株式会社ブロードバンドセキュリティは、Web診断サービスやMSS(マネージドセキュリティサービス)、PCI DSS準拠支援、CSIRT構築・運用支援等々で、DNPが協業いただいているセキュリティプロフェッショナル企業です。個々のお客さまの業種・業態や慣習などを踏まえた上で 、実行力のあるCSIRTのプランニング、構築、運用を支援します。

【目次】
  • CSIRTとは火消し役。インシデントの被害拡大を防ぐ
  • CSIRTの機能は百社百様
  • 責任を担う経営層の参画は必須。リーダーはヒアリング力強化を
  • “名ばかりCSIRT”から始めても実効性の高い体制に進化させるべき
  • 情報セキュリティを担うことは企業のブランド価値を守ること

株式会社ブロードバンドセキュリティ
高度情報セキュリティサービス本部本部長

大沼 千秋

Chiaki Oonuma

CISSP、PCI SSC認定オンサイト評価人(QSA)

  • 所属・肩書などは、2018年4月取材時のものです

CSIRTとは火消し役 インシデントの被害拡大を防ぐ

CSIRTとはComputer Security Incident Response Teamの略称で、コンピュータセキュリティに対応する企業内のチームのこと。2000年以降、ITシステム拡大とともにセキュリティの確保が求められるようになりましたが、万が一インシデントが発生した際に火消しの役割を担うのがCSIRTです。たとえボヤが起きたとしても燃え広がるのを防いで被害を最小限に抑える必要があるため、さまざまな企業でCSIRTの設置が進められています。
今、CSIRTが求められている理由には、巧妙なサイバー攻撃による大規模な被害が発生している実態があります。事故前提の考え方に基づくセキュリティ全般に対する取り組みが明確化されたことで、金融機関や重要インフラ事業社などが、一斉にCSIRT構築に着手し始めたという背景があります。その後、サイバーセキュリティ経営ガイドラインの公開によってあらゆる分野の企業もCSIRTを設置するようになり、その数は増加の一途を辿っています。その一方で“名ばかりCSIRT”という言葉の通り、立ち上げたものの機能していないCSIRTが少なくありません。実効性のあるものをどう作っていくべきかが課題になっています。
さらに、CSIRT設置に遅れが生じている企業が多いという事実もあります。製造業などは研究開発データや新製品情報などの重要情報を保有しているため、情報資産の保護が課題です。ここ2、3年でCSIRTを構築できなかった企業も積極的に取り入れるべきだといわれるようになりました。
また、2020年を見据えたサイバー攻撃に対抗する取り組みで、法の整備が加速していることも、CSIRTが求められている理由のひとつです。不正競争防止法の改正によって、営業秘密の差し止め請求ができるようになる法案が進められていますが、この法案は、サイバー攻撃によって自社の情報が漏えいした場合の救済措置ともいえます。各業態の監督官庁から示される指針やガイドラインに基づいて適正な施策を行っていることが救済措置が適用されるための大前提です。

CSIRTの機能は百社百様

CSIRTの機能や役割は平時と有事で異なります。平時における最も大きな役割は、セキュリティの強化や安全策の維持。今の安全策で足りていない部分を洗い出し、システム構築や統制のルール、セキュリティ教育、啓蒙活動など、インシデントを未然に防ぐためのプランニングが大切です。有事の際は火消しが最優先事項であるため、問題が迅速に伝わるコミュニケーションの流れをはじめ、対応プロセス、窓口の明確化が不可欠になります。普段から困った時に相談できる人間関係を築いておくことも実効性のあるCSIRTを構築する秘訣といえるでしょう。
セキュリティオペレーションセンターなど、ネットワークの監視機能をCSIRTの役割に含んでいる企業もありますし、含んでいない企業もあります。持っている機能は企業ごとに千差万別であり、100社あれば100通りのCSIRTがあってしかるべき。立ち上げたとはいえCSIRTがすべての役割を担うことは難しいのが実態であり、特にスタート地点では高すぎるゴール設定は避け、これまでの組織の役割の中で可能な限り対応していくことを考えるべきです。

責任を担う経営層の参画は必須 リーダーはヒアリング力強化を

次にCSIRTの構成ですが、平均すると4〜5人でチームを組むケースが多いようです。意思決定や経営層への報告を行うリーダーに加えて、統制面での規定の見直しやガイドラインの策定、部門間の調整などを担う非技術系の方と、具体的な調査のための技術や場合によっては指揮を執る技術系の方で構成されます。有事の際はシステムを止めるといった経営判断を伴うため、経営層の参画も不可欠でしょう。また、リーダーになる方はコミュニケーションスキルが必須です。インシデント発生時は、一つの部署、一つのシステム、一つのサーバー、一つのパソコンだけ対応というわけにはいきません。関係各所に話を聞きに行くこともリーダーの役割ですが、中でもインシデントを起こした当事者の方は相当なストレスを抱えており、ヒアリング方法を間違えると、場合によっては正しい情報を聞きだせずに対応の遅れにつながることもあります。「尋問」にならないヒアリング力は極めて重要なため、良好な人間関係を築ける方をリーダーに据えることもポイントです。
技術系の方に必要なのは、ITネットワーク基盤の知識や知見。サーバー環境の構築と運用を経験している人の方が親和性が高く、さらにセキュリティに対して興味関心を持っているかという点も、大きな要素になります。

“名ばかりCSIRT”から始めても実効性の高い体制に進化させるべき

CSIRTを構築する段階に入ったら最初に決めること、それはゴール設定です。具体的にはCSIRTに何を求め、役割や範囲をどうするのかを決めていきます。その上で、今できていることとできていないことの分析から課題解決に進み、手順の見直しを繰り返し、最短でも概ね3ヶ月から半年かけてようやく本格スタートとなります。
CSIRT要員が集められない場合はセキュリティベンダーへ委託することになりますが、ジャッジする機能は自社内で持っておくことが必要です。どの部門の誰に聞けば疑問点がスムーズに解決できるか、といった自社内での立ち回りは重要な要素のひとつといえます。コミュニケーションのハブ機能は必ず残しておくべきです。
自社内CSIRTの増加により“名ばかりCSIRT”も話題を集めていますが、スタート地点に立つという意味では、最初は“名ばかりCSIRT”から始めることも進歩といえるのではないかと考えます。まずは大まかなポリシーと役割の定義、次に実効性を持つミッションの実施に移るわけですが、当社が企業へCSIRT構築の支援に行く際は、セキュリティインシデントに対してどのくらいの動きがあったかを確認しています。ほとんどないと答えた企業は、経験上ほぼ確実にCSIRTが機能していない可能性が高いといえます。委託したセキュリティベンダーからの報告は効率的にインシデントを発見する手段のひとつですが、企業のセキュリティ担当者が受け身の姿勢で、自ら問題点を掴もうとしていないと実効性には程遠く、まさに“名ばかり”になっているといえるでしょう。

情報セキュリティを担うことは企業のブランド価値を守ること

当社が行うCSIRT構築支援の大きな特徴は実行力。やらされ感を払拭し、誇りをもってミッションに取り組んでもらうことを重要なポイントに位置付けています。企業の情報資産を守ることはすなわち、ブランドを、商品を、消費者を守る役割を担うこと。セキュリティ担当者がなんだかよく分からないまま行うのではなく、たとえば勉強会を開く際には実際に業務を行うセキュリティ担当者をアピールするなど、社内活動も重要です。アラートがあがった時にどのようなプロセスで調査していくか理解すること、またセキュリティベンダーに委託している場合は、受けた報告をそのまま流すのではなく、自分たちの判断や考えを加えて、現場や上層部に伝えられる組織にしていくことをCSIRT支援に取り組む上で重視しています。

人気の記事