自前でのインシデント対応は困難、企業間で広がるセキュリティ連携の動き：セキュリティインシデントに立ち向かう「CSIRT」（2/3 ページ）

[國谷武史，ITmedia]

加速する金融業界のセキュリティ連携

　業界内の企業が連携する動きも広がり始めた。IT分野では通信系企業が参加する「テレコム・アイザック推進会議（Telecom-ISAC）」が有名だが、2014年11月に金融業界の銀行や証券、保険の企業が参加する「一般社団法人 金融ISAC」が発足している。

　金融ISACの母体は、メガバンクなどのセキュリティ担当者らが2012年に立ち上げたコミュニティー「CISS（Cyber Intelligence Sharing for Banks）」だ。当時はオンラインバンキングサービスを標的にするマルウェア（バンキングトロイ）の問題が海外から国内にも拡大し、銀行間で連携していく必要性が高まったためだという。最終的に20行が参加したが、規模の拡大でコミュニティーとしての自発的な活動が難しくなったことや、銀行が直面するセキュリティの脅威が証券や保険などの類似業種へ及ぶことに備え、CISSを発展させる形で金融ISACが設立された。

　「拡大する脅威に金融業界全体で協力していく枠組みが必要でした。法人組織化で参加企業の活動が広く認められやすいものにもなりました」（事務局長の谷合道宏氏）

　連携の1つである「情報共有」は、メンバー間でやり取りする内容や範囲を明確にしている。例えばインシデントに関する情報は、共有する内容を「攻撃元」「手口」「目的」「対策と結果（有効性など）」といったものに定め、社名や被害などの個別具体的な内容は任意扱いだ。共有範囲は「Traffic Light Protocol」という基準で4つの区分を設け、情報の具体的な取り扱い方法を規定する。

金融ISAC 理事の鎌田敬介氏、事務局長の谷合道宏氏、運営委員の阪上啓二氏（左から）

　業界内の企業となると、ビジネス面では競合関係にある。セキュリティに詳しくない管理者や経営者の中には「他社に顧客情報が知られてしまうのでは？」と思う人もいるため、金融ISACで利用する情報の内容や目的、範囲を周囲に理解してもらうよう明確にすることで、情報提供者が不利益を被らないよう配慮している。

　日々のコミュニケーションは、メーリングリストでの脆弱性やインシデントに関するやり取りが中心だ。「例えば、『いまDDoS（分散型サービス妨害）攻撃を受けているが、どこからだろう？』と投稿すると、すぐに『このIPアドレスのようだ』といった返信が来ます。現場に近いメンバーばかりなので、非常にスピードが速いですね」（理事の鎌田敬介氏）。

　技術的な話題以外での協力も多い。「『CSIRTをどのようにしているか？』との質問に『規約で存在を明確にしている』『社内外からの問い合わせに専任窓口を設置している』と答えたり、『経営層へのセキュリティ研修に適した資料はないだろうか』との呼び掛けに参考データをアドバイスしたりと、現場の担当者に役立つ内容の共有も活発です」（運営委員の阪上啓二氏）