ファイア・アイ 執行役副社長 岩間優仁氏

セキュリティインシデントが発生した場合、鍵となるのは「事前の備え」だ。ファイア・アイが7月12日に開催した「Cyber Defense LIVE Tokyo 2016」におけるパネルディスカッション「インシデントに備えた体制作りとCSIRTの役割」で、「備え」の役割を果たすCSIRTの必要性について、JPCERT/CCの理事らが意見を交わした。

情報を共有することで事前対策を

パネルディスカッションには、パネリストとしてJPCERTコーディネーションセンター 理事 最高技術責任者の真鍋敬士氏と、日本シーサート協議会 運営委員長の寺田真敏氏、ラック 取締役 専務執行役員 CTO兼CISOの西本逸郎氏、ANAシステムズ 品質・セキュリティ管理室 エグゼクティブマネージャー ANAグループ情報セキュリティセンター ASY-CSIRT 阿部恭一氏が参加。ファイア・アイ 執行役副社長の岩間優仁氏がモデレーターとして登壇した。

日本年金機構の情報漏えい問題や地方自治体の情報漏えい事件など、サイバーセキュリティに関わる問題はどの企業にとっても他人事では済まされない状況になりつつある。年金機構の問題発覚直後にはマルウェアによる情報漏えいが多数報告されており、今年の春先にはランサムウェアの感染報告が相次いだ。

近年、セキュリティインシデントは身近に起きるものだと企業が認知した時、最初に取る行動は「CSIRTの設置」というところも少なくないのではないだろうか。CSIRTは、Computer Security Incident Response Teamの略で、企業内でセキュリティインシデントをハンドリングし、万が一の対策を司る部門として、上場企業を中心に設置が増えている組織だ。

日本シーサート協議会 運営委員長 寺田真敏氏

CSIRT企業の寄り合いとなっている日本シーサート協議会は、2014年に約50社、2015年に約90社と順調に加盟社数を増やしており、今年に入っても1カ月10社程度のペースで増加し161社(7月1日時点)にまで拡大している。同協議会の寺田氏は、「顔を合わせて(脅威などのセキュリティ)情報を交換・共有する場を作り、攻撃に先んじた対策を行う場だ」と協議会の目的を説明する。

「日本シーサート協議会は、相互理解を深めるための組織。同じような製品・情報を持つ会社が集うことで、それぞれのわかりにくい部分を補完できる。初めてインシデントに遭ってしまった会社に対してレスポンスのノウハウを説明すると30分や1時間取られてしまうが、こうした場で事前に情報を共有していれば、1、2分でどういう対応が適切なのか伝えられる」(日本シーサート協議会 寺田氏)

JPCERTコーディネーションセンター 理事 最高技術責任者の真鍋敬士氏

インシデントレスポンスは攻撃を受けたあと、どのような対応を行うのかに焦点を合わせがちだが、寺田氏やJPCERT/CCの真鍋氏は後手後手になる前に情報収集を行い、訓練などを通して事前対策をしっかりと構築することが大事だと指摘する。CSIRTは情報を管理する組織であり、その設置はファーストステップに過ぎない。

「インシデント情報はさまざまな機関が提供している。私たちも案内しているけど、そもそもJPCERTを認知している組織が意外と少なかった。寺田さんが『レスポンスの説明に1時間かかる』という話があったが、3年前を思い出すと、私たちが説明しようとしてもJPCERTを理解しておらず、まともに対応してもらえるまで1~2カ月かかるケースもあった。それだけ時間がかかると、残っていたマルウェアなどによって再度攻撃の徴候が見られ、慌てて話を聞きにくるケースもあった(苦笑)。最近は対応してもらえるまでの期間が短くなったけど、時間の短縮は常に考えるべきことだと思う」(JPCERT/CC 真鍋氏)

組織としてインシデント発生時の備えが必要に

一方でCSIRTの仕事は、何も脅威インテリジェンスを分析し、異常な通信を監視するだけではない。

「日本年金機構の事件や今年に入って起こった自治体周辺の情報漏えい事件などが起こるたびに『対応が遅い』という指摘がマスコミからある。あれはCSIRTがないが故の問題で典型例といってもいい。では、その初動対応の遅さだけが問題かというとそうではなくて、”脅威”というものは、実際のサイバー攻撃だけでなくメディアや風評被害、世間の声、行政といった事後対応も重要な課題となる。現場だけでインシデントレスポンスを完結するのではなく、組織全体、経営幹部も巻き込んでセキュリティに対する環境構築が必要だ」(ラック 西本氏)

ANAシステムズの阿部氏も、2010年頃を境にサイバー攻撃が高度化したことで、個人の裁量で対応を考える状況ではなくなったと指摘する。

「大企業の大規模な情報漏えい事件が2010年頃を境に多発するようになり、それらを教訓として一種の”モデル”ができるようになった。それを考えれば、昨年の日本年金機構の件をはじめ、その後も相次ぐ情報漏えい問題で『対応が遅れている』という空気は確実にできている。だからこそ、対応が遅れないように、そして対応の遅れを批判され、余計な労力を費やすことにならないように、訓練を積み、慣れることが大事だと考えている」(ANAシステムズの阿部氏)

>>コストとの向き合い方