第9回 「進撃の巨人」で知るインシデント対応 CSIRTとSOCの本質とは?日本型セキュリティの現実と理想(1/3 ページ)

「進撃の巨人」の世界では巨人の脅威に備える3種類の兵団がいる。現実世界でサイバー攻撃に立ち向かい、孤立無援のセキュリティから脱却するために欠かせないCSIRTやSOCとはどのような存在なのだろうか?

» 2015年10月22日 07時00分 公開
[武田一城ITmedia]

 前回は「進撃の巨人」の世界に出てくる壁や3つの兵団を例に、その世界観と現在世界のセキュリティ対策の状況との共通項を説明した。なお物語の世界の巨人と違って、現実世界のセキュリティ対策にとって外敵であるサイバー攻撃者や攻撃そのものは目に見えず、脅威が顕在化しないまま情報がだだ漏れの状況で見過ごされている可能性についても触れた。今回は後編として、「進撃の巨人」と同じような絶望的な状況に対抗するセキュリティ対策として注目されるCSIRTとSOCの役割について述べたい。

CSIRTとは?

 CSIRTは「Computer Security Incident Response Team」の略称であり、その名前の通りコンピュータのセキュリティインシデントに対応する“チーム”だ。セキュリティインシデントとは、日本のCSIRTの草分けでもあるJPCERT コーディネーションセンターの定義によると「情報流出」「フィッシングサイト」「不正侵入」「マルウェア感染」「Web改ざん」「(D)DoS」などであり、これらのセキュリティインシデントの際に対応する組織がCSIRTなのだ。

 CSIRTは、消防団や自衛消防隊、そして自警団などに例えられることが多い。つまり、自分の地域を見回りして火事や災害などが発生した場合に、それを発見し、可能であれば被害が小さいうちに消火にあたる。CSIRTの一番のポイントは、実際の消防団などのように組織内に常時居るということだ。

 なおCSIRTの構成員は、あらゆることに精通したセキュリティのスペシャリストである必要はない。セキュリティが保たれていることを監視し、通常の状態と異なる攻撃者が残す痕跡を見つけ、必要であればセキュリティ事業者のプロに救援を求めるなどの対応をするだけでもよい。

 もちろん、セキュリティの高い技術力があればより良いが、本質的には上述のような機能を持つ“チーム”が存在し、それなりにでも行動していることが最も重要だ。CSIRTには、セキュリティやインシデントに関する情報が集まり、有事にはCSIRTが司令塔のような役割を担うことによって、経営層や外部のスペシャリストとのスムーズな連携と対策の実施が可能になる。

 組織の安全は、誰かが日々の定点観測を行って通常の状況がどうであるかを把握できていなければ、攻撃を受けた際に非常事態だと判断することもできない。攻撃者は、侵入しても痕跡を残さないスキルをどんどんと高めている。そんな攻撃者の侵入を許してしまえば、誰にも気づかれずに重要な情報が外部に流出し続ける。こうなってしまうと、攻撃者が何らかのミス(例えばサーバ負荷の異常な増加など)をしなければ発覚しない。多くの企業や組織では誰も気がつかないうちに情報の駄々漏れ状況となってしまっているのだ。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ