セキュリティ事故に備える「CSIRT」構築術

インシデントへの対応、進んでいる企業と遅れている企業の違いはどこに?セキュリティ事故に備える「CSIRT」構築術

EMCがセキュリティ対策に積極的な企業のコミュニティーやGlobal 1000の企業にアンケートを実施したところ、セキュリティインシデントへの対応状況に違いがみられたという。

» 2015年04月15日 11時45分 公開
[國谷武史ITmedia]

 米EMCのセキュリティ部門RSA Securityは、セキュリティ対策に積極的な企業と大手企業との間にインシデント対応への取り組み状況で開きがあるとのアンケート調査の結果を発表した。セキュリティ問題のリスクを軽減させていく方法の参考になるという。

 調査ではEMCやJohnson & Johnson、Walmart、Boeingといった19社のセキュリティ責任者が参加するコミュニティー「Security Business Innovation Council(SBIC=ビジネス革新のためのセキュリティ協議会)」(回答12社)と、Global 1000の企業(回答170件)にアンケートを実施。インシデント対応における「コンテンツ」「分析」「脅威」の3つのインテリジェンスについて両者の違いを比較した。

 まず「コンテンツ」のインテリジェンスとは、重要な情報資産の特定と監視する中で危険性などの状況を認識することを指すという。アンケート結果では「セキュリティ専門のログ収集や相関分析を備える」「資産情報や脆弱性情報などを日々活用している」「誤検出の低減に取り組んでいる」の3点でSBICの企業は90%を超える一方、Global 1000の回答企業ではSBICの半分程度にとどまった。

「コンテンツ」インテリジェンスへの取り組み(EMCより)

 次に「分析」のインテリジェンスとは、脅威を分析する手がかりとなる証拠の収集や保持などの作業(フォレンジクス)をいう。アンケートではサーバやクライアントなどのホストでフォレンジクスを実施している企業が多いものの、ネットワークでのパケットキャプチャといった作業を実施しているGlobal 1000の企業は4割程度だった。

「分析」インテリジェンスへの取り組み(同)

 最後の「脅威」インテリジェンスは、脅威を特定するための社内や外部(ベンダーなど)のデータの活用などを指すという。SBICの企業は全てが脆弱性管理の実施や外部データの活用を行っているが、Global 1000では外部データの活用が進んでいないことが分かった。

「脅威」インテリジェンスへの取り組み(同)

 これらの結果についてRSAは、「コンテンツ」インテリジェンスはセキュリティの脅威へ早期に対応するための足掛かりになると解説。経営層やIT部門、業務部門をまたいだ全社横断型の体制づくりが求められるという。また、「分析」インテリジェンスでは特にネットワーク上の“ふるまい”やデータに着目した取り組みが重要になってくる。「脅威」インテリジェンスでは社内外から広く情報を得ることによって、インシデント対応における優先順位などを迅速に判断して行動できるようになるとしている。

 また、SBICでは全ての企業がインシデント対応にあたる「CSIRT」を正式部門化したり、予算化したりして体制を運用している一方、Global 1000では30%にとどまることも分かった。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ