セキュリティ対応というと、インシデントが発生してから動き出すイメージがある。そのため、CSIRTは普段、何をすればいいのかと考える人もいるだろう。しかし、本来のCSIRTには、日常的な業務が存在する。
「CSIRTは、インシデントが発生した時に対応するイメージが強いですが、普段からやなければならないタスクと、問題が起きた時にやるべきタスクがあります。普段からのタスクは脆弱性情報の収集や担当者への連絡、パッチマネジメント、リスクアセスメント、ポリシーの成熟度を高める、部門間のシステムアドバイザリーといったものです。また、資産の洗い出しも必要ですね。急成長した企業や買収・合併等を経た企業は自社ネットワークを完全に把握できていないという事もよくあります」と大沼氏は語る。
-
現状把握フェース概要
また、インシデントの発生に気づくための監視業務もCSIRTの役割だ。自社で見つけることができず、外部から指摘を受けてから動き出すケースは少なくないが、本来は自ら発見したいところだ。そのためには、常日頃からシステムログを監視するなど、インシデントの予兆をいち早く察知するための仕組みを作り、運用を行う必要がある。
それには、ログ監視、アラートの精査といった基本的なところから、MSS(マネージド・セキュリティサービス)やハンティングサービスの利用といった専門家に依頼する方法もある。また、高度なものではアンダーグラウンドなサイトでの会話を監視して攻撃の予兆を掴むという手法もあるという。
「社内の監視とインターネットの監視をして予兆を見ておけば備えることはできますが、大きな企業になると監視ポイントが多くなりますし、アラートは誤検知も多くあります。それを調べて判断するスキルが必要です。今のところ完璧な自動化というのはできていないですね」と大沼氏。
こうした業務で必要とされるスキルは、役割によって違ってくる。コマンダー(指揮官)として情報収集や指示出しを担当する人には、発生初期の情報整理から収束宣言を出すところまで全体を見渡して動く能力が求められる。ビジネスを継続させながらインシデント対応を行う必要があるため、企業内からすぐに見いだすのは難しい人材だろう。専門家に頼りつつ、育成する必要がある。また現場側の作業者として、フォレンジック等を担当するスキルを持つ人も必要となる。
「どんな仕事も同じですが、コミュニケーションスキルは必要です。ITのスキルだけでなく、1つの方向性をコマンダーが示し、全員がそれに従うように作業していかなければなりません。高い技術を持っていても、人がバラバラに動いているのではうまくいきません」と、大沼氏はコミュニケーション能力の重要さを指摘した。
