米国にみるセキュリティ人材とCSIRT強化の課題解決：セキュリティインシデントに立ち向かう「CSIRT」（1/3 ページ）

CSIRTを構築する企業が増える一方、セキュリティ人材の不足といった悩み声も聞かれる。サイバーセキュリティ先進国とのイメージが強い米国でも同様の課題が生じているが、解決に向けて企業が様々な取り組みを始めているという。

[國谷武史，ITmedia]

　国内で企業や組織が「CSIRT（もしくはSIRT。セキュリティインシデント対応チーム）」を構築する動きが徐々に広まる中、サイバー攻撃などのリスクに絶えず晒され続けている米国の企業や組織では、セキュリティ人材の育成やSIRTの高度化に向けて先進的な取り組みが始まっているようだ。

SIRTに不可欠な4つの要素

EMCセキュリティ部門RSA グローバル戦略・技術プリセールス担当バイスプレジデントのマイク・ハッカビー氏

　米EMCでSIRTの構築・運営の支援を手掛けるマイク・ハッカビー氏は、「米国では金融や重要インフラ、政府機関を中心に、SIRTや『CIRC（重大インシデント対応センター）』、セキュリティ運用センター（Security Operation Center）を構築し、インシデントへ包括的に対応する仕組みづくりが進んでいる」と話す。

　ただし、米国でも多くの一般企業は、日本と同じようにSIRTの検討を始めたばかりというところが少なくない。こうした企業は、SIRT活動で先進的な企業やEMCのノウハウなどを参考にしながら、単にSIRTを構築するだけでなく、きちんと機能できるSIRTづくりを目指しているという。

　ハッカビー氏は、企業がSIRTを運営していくために、次の4つ要素が不可欠だと解説する。

1. セキュリティの調査および分析
2. ツールと戦術
3. ワークフローとその実行力
4. 脅威に関するインテリジェンス

　4つの要素は、いずれもSIRTの基本機能ともいえるが、特に（1）「セキュリティの調査および分析」と、（2）「ツールと戦術」は、人材の面から注目すべき要素だ。

　情報処理推進機構（IPA）によれば、国内で情報セキュリティに従事する技術者は約23万人に上るが、2万2000人の人材不足が指摘されているとされ、約23万人のうち必要なスキルを満たしていると考えられる人は、約9万人にとどまる（関連リンク）。セキュリティ技術者の不足は米国でも大きな課題だという。

　「そこで、若い技術者がスキルを高められるツールやプロセスが必要だ。適切なツールがあれば、経験の浅い人でもセキュリティ情報を集めたり、分析したりできる。その結果をベテラン技術者に手渡し、より高度な分析を行っていく。若い技術者はベテランから学べるし、SIRTとしても効率的にインシデントに対応できる」（ハッカビー氏）

　（4）「脅威に関するインテリジェンス」は、インシデント対応における“武器”ともいえる。インシデントの被害を抑止するには、インシデント自体を正しく理解することが必須であり、そのためには組織内部だけでなく組織外部の情報も積極的に取り入れ、分析する。また、情報は得るだけではなく自らも外部に提供し、組織間で共有していく。自社の情報が外部のSIRTのインシデント対応で役立つ場合があり、SIRTの連携はセキュリティ脅威への対抗策になる。

　「うまく機能しないSIRTは、情報を閉じたままして外部に出さない。情報共有する相手は慎重に選ぶべきだが、同業他社のSIRTや他のセキュリティ機関の間で情報を共有し、実際に活用していくことが、インシデント対応の基本だ」

　以前の記事にもあるように、SIRTの役割は、インシデントのリスクから自社やビジネスを守ることにある。企業はリスクが存在し続ける限りSIRTを維持、強化していかないといけない。「SIRTにとって最も重要な点は社内の支持を得ることだ。経営層がセキュリティのリスクとSIRTの必要性を正しく認識し、投資していかなければ、SIRTは失敗する」

　先進的なSIRTを展開する米国企業では、セキュリティ人材の不足や情報連携における課題解決に向けて、具体的な取り組みを歩み始めている。