CSIRT運用のリアルとポイント

連載2回目の今回は、CSIRT運用の”リアル”と、適切に運用するためのポイントについて、JNBの事例を基に解説したいと思います。なお、一般的なCSIRT構築の手引きは日本シーサート協議会などが提供しているドキュメント(リンク※PDF)がありますので、そちらを参照してください。

自己解決型CSIRT

一言で「CSIRT」と言っても、いくつかの”タイプ”があります。SOC(SecurityOperationCenter : セキュリティ事象を監視し、対策を行う組織)を内包してインシデント対応も社内で行うタイプや、セキュリティ事象の管理に特化してSOCやインシデント対応もアウトソースするタイプ、またはそのハイブリッド型といったものです。

「このタイプがベスト」といったことは一概に言えず、インシデントの発生状況や利用する機器、サービス、企業規模/風土、セキュリティ人材の確保といった状況に応じて運用することが多いでしょう。JNB-CSIRTはSOCも内包した自立タイプで、インシデント監視から対応まで、基本的に社内人員で運用しています。

とはいえ、私たちも最初からSOC内包タイプを目指していたわけではありません。実際のインシデント対応から、さまざまな対策の企画、サービス・製品の導入を進めていく中で、メンバーのスキルが向上してノウハウが蓄積された結果、現在の組織に行き着きました。では、そのスキル向上という成長の裏には何があったのでしょうか?

ターニングポイントは「見える化」

スキルが向上した要因の一つに「ログ解析」があります。JNBでは、ログ解析ツールを導入して自ら可視化できる環境を構築したことで、セキュリティインシデントへの対応が大きく変わりました。

JNB-CSIRTは2013年9月の設立時点で日本シーサート協議会や銀行間のサイバーセキュリティ対策コミュニティに参加しており、外部からインシデント情報や脅威情報を入手していました。ただ、それらの情報を活かして自社に対する攻撃の有無を把握することは、まったくと言っていいほどできていませんでした。

当時はログを調査する場合、本番システムにアクセスして複数の機器のログファイルを参照する必要があり、承認を得るための事務が繁雑であったり、IT部門の手を煩わせることにもなり、敷居が高い状況でした。そのような状況が、ログ解析ツールの導入によって一変したのです。

私たちは2015年春に「Splunk」を導入しましたが、当初の目的は主に「標的型攻撃マルウェアの動きを捉えよう」というもので、OA環境に関わるネットワーク機器のログ収集のみでした。しかし、それだけではライセンス料がもったいないという事情もあり、インターネットバンキングサイト側のアクセスログも取り込むことにしました。

取り込んだログは、ちょうど同じ時期に導入したAkamaiのCDN(ContentsDeliveryNetwork)とWAF(WebApplicationFirewall)のものです。これによってメインチャネルであるインターネットバンキング側も含めて、情報量が一気に増えるとともに、事象に対する調査や対応の時間も大幅に短縮されました。

こうして一定の情報が見えるようになったことが、次のステップにも繋がりました。さらに効果的な検知のために「次はどのログを取得すべきか」「どの項目を見るべきか」「どのログと組み合わせるべきか」が分かるようになってきたのです。つまり、「見えるようになる」+「道具」⇒「より見えるようになる」⇒「追加情報」⇒「さらに見えるようになる」⇒「道具の使い方も上達」という好循環が生まれ、ログ解析の高度化やCSIRTメンバー個人、ひいては組織としての能力向上に繋がったのです。

CSIRT運用上のポイントは?

このようにCSIRTを運用する上で重要なポイントを、JNB-CSIRTなりにまとめてみました。

インシデントにできるだけ直接触れる

スキル向上には、実戦が欠かせません。前述の通り、JNB-CSIRTでは自社で検知した攻撃予兆や情報共有の取り組みを通じ、他社や公的機関から提供される情報(IOC : Indicators of Compromise)を元に自力でログを調査し、IPアドレスのブロック判断や対応を自社で行っています。

こうした取り組みによって犯罪者の動きに対するノウハウが蓄積されるとともに、情報に対する判断力が養われ、対応力が高まったと感じています。一方で、正当なお客さまも使っている可能性のあるIPアドレスをまれにブロックしてしまうケースがあります。ご迷惑をお掛けしたこともあるものの、お客さまの資産を守るためには、こうしたアグレッシブな対応も必要だと認識しています。

共助が重要

サイバーセキュリティ対策は「自助(自社での対策)」と「公助(公的機関による対策)」「共助(コミュニティによる対策)」を活用していくことが必要です。私たちはその中でも共助を重要視しており、所属するコミュニティ(業界)の中で、できるだけ早く詳細な情報を入手し、犯罪者に先回りした対応を目指しています。

これは一方的に情報を受け取るだけでなく、コミュニティ全体の活性化に寄与し、被害を拡大させずに、「全体として犯罪被害を減らしていくこと」を意識しています。そのため、「金融ISAC」を始めとする共有の場で積極的な情報発信を心がけています。

自社に合った対策製品、サービスを選び、”使いたおす”

これはセキュリティに限った話ではありませんが、製品やサービスが「自社の課題に対して有効か」「狙い通りの働きを見せるものか」が重要です。そのため、可能な限りトライアル版などを試用して事前評価してみてください。たとえ優秀な攻撃検知機能を持っていても、ドキュメントが難解で、解読するために別のサービスを契約するといったケースがあり、最終的にコストがかさむ場合があります。

昨今のセキュリティ対策は多層防御が重要ですから、一点集中でコストをかけるのでなく、「入口」「内部」「出口」というバランスの良い対策を行うことが有効な施策になります。この記事を読まれた方はぜひ、自社の多層防御の状況をマッピングして俯瞰してみてください。

“アンテナ”を大切に

CSIRTメンバーには、セキュリティ関連サイトや有識者のSNSなどを日々読むように推奨しています。「インテリジェンス」と呼ぶにはまだ遠いと思いますが、サイバー犯罪のトレンドを把握し、攻撃者や犯罪者がどのような背景の元に、どのように活動しているのかを知ることで、少しでも先回りした対応が行えると考えています。

経営との密な連携とアピール

経営層への分かりやすい報告や実績アピールも忘れてはいけません。経営層との距離を縮めることは前回も触れましたが、セキュリティインシデントは「フィッシングとファーミングの違い」といった多少深掘りした情報も経営者に伝え、興味を持ってもらっています。

もちろん実績のアピールも重要で、例えば不正送金対策のケースでは「サイバー犯罪から守ることのできた預金残高の総額」などわかりやすい数字を報告し、その成果を示しています。

課題の認識

金融機関、特に銀行は取引の24時間化が進んでおり、2018年度には全銀システムも24時間化される予定です。これにより、他行間の振込が夜間や休日にもできるようになります。

これに向けてCSIRTやSOCも夜間・休日の対応が迫られており、仕組みや体制の整備が課題だと考えています。また、メインの銀行システムだけでなく、お客さまの利便性を保ちながら、安全に取引が行える認証の仕組みなどについても考えていく必要があります。JNBではこれについても、CSIRTの課題として取り組んでいきます。