セキュリティ キーパーソン (2) 日本CSIRT協議会 村上晃氏 - 担当者が"1人で悩まなくてすむ"情報共有の場を提供

組織を超えたセキュリティ情報の共有に関心が高まる

――SCSKが、CSIRT協議会に加盟された経緯について教えてください。

手柴 : 先ほど村上様のお話にもあったとおり、セキュリティの運用監視をサービスとして提供している中で、インシデントや脅威に対する情報共有が、自社だけでは十分に行えなくなってきているという問題意識はありました。また、セキュリティに関する関心が社会的に高まる中で、サービスを受けるお客様からも、われわれに対し、情報収集の広さや深さを高めてほしいというご要望が出るようになってきていました。

そこで、他社や、そこに属するCSIRTではどのような取り組みが行われているのかについて調べていく中で、日本CSIRT協議会という組織があることを知り、加盟をさせていただいたという経緯になります。

――協議会の方では、近年のセキュリティインシデントの動向の変化などから、CSIRTに対する関心が高まっているような印象は受けていますか?

村上 : そうですね。近年では、「標的型攻撃」のような手法が登場したことをきっかけに、内閣官房情報セキュリティセンターから、対策のための情報共有の枠組みを整備していくことの必要性に触れたレポートが出されました。その中で、インシデント対応を行うCSIRTという存在が認知され、そうしたCSIRT間での情報共有や連携を目的として組織された協議会に対する関心も同時に高まっているように感じています。

また、新規に加盟されるCSIRTの中には、より世界的な規模での情報共有を目的に、日本CSIRT協議会に加えて、CSIRTのグローバル組織である「FIRST(Forum for Incident Response and Security Teams)」への参加を視野に入れていらっしゃるところも増えてきました。さまざまなコミュニティに参加しての情報収集が、インシデント対応に必要であるという認識も強くなってきていると思います。

セキュリティ企業とユーザー企業との間の関係ですと、契約をベースに対価を支払って情報交換という形が通常ですが、協議会におけるCSIRT間の関係は、それとは違い、メンバー同士の信頼感、個人的なつながりの中で情報がやりとりされます。企業同士のつながり、人と人とのつながりをうまく連携させることにより、従来とはまた違ったチャネルでそれぞれに必要な情報が流れていくのではないかという考えで、活動を進めています。

手柴 : 国際的な展開に関連してお伺いしたいのですが、以前のWGのときに、国際的なレギュレーションのやり取りについての話題がありました。協議会では、日本からCSIRTの国際的な連携を組織的に働きかけるということもやっているのでしょうか。

村上 : JPCERT/CCが加盟していることもあり、必要な場合には、そこからJPCERTを通じて、国際的に連携できるような枠組みは用意していますね。

手柴 : 海外に支店を持っている日本企業の場合には、そうした手段を持っていることが非常に重要なんです。ただ、海外では日本と法律やルールも異なっています。そのあたりのギャップを、現実的に加盟社のみなさんは、どう埋めていらっしゃるのでしょう。

村上 : 例えば「海外のサイトからDDoS攻撃を受けている」というような場合に、対応の方法はいくつかありますね。ひとつは、先ほど述べたようにJPCERTを通じて、連絡をしてもらう形です。また、国際組織であるFIRSTのメンバーであれば、その中で対応方法を模索するという対応も可能です。協議会のメンバーには、積極的にFIRSTのカンファレンスや地域ごとのワーキングに参加して、個人的にFIRSTメンバーとの親交を深めている方もいらっしゃいます。

手柴 : そうしたつながりがないと、なかなか有用な情報を入手したり、対応を依頼してもらうことは難しいですよね。

村上 : そうですね。いきなり海外に個別の企業や個人が連絡して対応を依頼したとしても、先方の反応が芳しくないというケースはあるでしょう。国によって法律が違ったり、文化的に違いがあったりということもあると思いますが、結局は連絡してきた相手が「信頼できる」か、そこからもたらされた「情報が正しいか」という部分をいかに担保するかという部分が一番重要なのではないでしょうか。

「対応を依頼するメールにPGPの署名をつける」といったことも、もちろん大切なのですが、別の視点で、組織や個人間の信頼といったものをうまく活用していくことも、セキュリティインシデントの対応には必要になってきているのだろうと思います。

今すぐ社内に「CSIRT」を作ろう

――SCSKさんは、セキュリティビジネスを展開する企業として協議会に加盟されているわけですが、WG会などに参加してみて、感じたことはありますか。

手柴 : 実際にセキュリティオペレーションを行うエンジニアの立場でWG会などに参加し、他の企業でセキュリティに携わっている方とお話しをする中で、刺激を受けている部分は大いにありますね。

その方は、私とは専門分野が違う方だったのですが、その方のセキュリティへの取り組みを伺って「これほどまでに熱心に、世界規模で情報セキュリティに取り組んでいる人がいるのか!」と強く感銘を受けました。そうした刺激は、その後の仕事の中にも反映されていると思っています。

また、今後SCSKがグローバルでのサービス展開を検討する際にも、実際に現在グローバル規模でビジネスを展開している企業やCSIRTの方々とコミュニケーションできる場があることは、ありがたい機会だと思っています。

村上 : 協議会には、組織内での立ち位置も、ビジネス上のミッションも異なるCSIRTが幅広く加盟してくださっています。異なる立場でのフリーなディスカッションや交流から生まれる「見えない効果」というのも、あると思います。

手柴 : WG会が終わった後の名刺交換の際には、実際のWG会では伺えなかったような、より深いお話しができるケースも多いです。

村上 : 普段の活動を含め、参加者の間ではかなりきわどい情報がやり取りされるケースもあるようです。そのチームだからこそ見える最新のセキュリティ動向や、個人が持っている情報収集のスキルといったものが共有される中で、刺激を与え合ってもいるようです。ビジネスライクではなく、個々の信頼関係が成立しているからこそ可能な情報共有の形も、協議会にはありますね。

私の立場で企業の方に訴えたいのは、ぜひ今すぐ「社内にCSIRTを作ろう」ということです。

セキュリティインシデントは、既にあらゆる企業にとって身近な問題になっています。いざ、実際にインシデントが発生した場合には、ITに直接関わっている情報システム部門、開発部門だけでなく、リスクマネジメント部門、経営企画部門、広報部門など、社内のあらゆる部署を巻き込んだ対応が必要です。

だからこそ、明示的に部署として設置しないとしても、バーチャルなもので構わないので、機能として、そうした対応をリードできる組織を用意しておいてほしいと思います。また実際の対応にあたっては、自社の中だけで解決できない問題も多いです。日本CSIRT協議会は、そうした点で「担当者が1人で悩まなくてすむ」ような場所として運営されています。情報セキュリティとインシデント対応について考えていくにあたり、ぜひ多くの企業の方に、加盟を検討していただきたいと思っています。

――ありがとうございました。