最初から重大インシデントに対応できるCSIRTを構築するのは非常に難しいだろう。ニッセイ情報テクノロジーの小澤氏は、「名ばかりCSIRTでもまず始めてみるべき」と話す。
企業や組織でセキュリティインシデントに対応する「CSIRT」(コンピュータ・セキュリティ・インシデント対応チーム)への関心が高まっている。日本シーサート協議会(NCA)に加盟するCSIRTは2015年10月に100チームを超え、様々な業種の企業が参加している。これからCSIRTを構築しようとする場合、どのようなポイントに気を付けるべきだろうか。2014年10月にNCAに加盟したニッセイ情報テクノロジーが、同社の経験などを踏まえて解説してくれた。
ニッセイ情報テクノロジーは、日本生命グループのIT企業として1999年に設立された。グループ各社向けのITサービスを中心に、グループ以外への企業にもITサービスを提供している。同社では組織内CSIRTの「NISSAY IT CSIRT」を2014年9月に設立した。
CSIRTをどのような形で構築するのかは、インシデントが発生した場合にどのような対応をしていくのかという視点で検討してみるのが分かりやすい。インフライノベーション事業部ビジネスイノベーション室プロジェクトリーダーの小澤賢一朗氏は、(1)外部からの通報、(2)マルウェア感染端末の特定、(3)感染端末特定後の行動、(4)収束――の4つの段階によるシナリオでポイントを紹介している。
実際に企業や組織で日々発生するセキュリティインシデントには、様々なものがある。インシデントの発生を自社で検知できれば、すばやい対応につなげられるが、実際には日本年金機構へのサイバー攻撃のように、外部からの通報で初めてインシデントに気づくケースが少なくない。外部とは顧客や取引先、セキュリティの専門機関やベンダーなどだ。
「組織内部でインシデントを見つけられないというのが現状。この状況がすぐに変わるのは難しいだけに、まずは外部の方々に分かりやすい連絡窓口を設置しておくことが望ましい」と小澤氏は解説する。
この連絡窓口は「Point of Contact(PoC=ポック)」とも呼ばれる。外部の人や組織がセキュリティインシデントの可能性に気付いても、PoCがなければその企業や組織への適切な連絡が難しくなる。「お客様相談室」や広報、営業部門などにセキュリティインシデントの連絡があっても、最初に連絡を受けた部署では対応にとまどってしまうだろう。
セキュリティに関連する対外的な連絡先としてPoCの存在は、組織の内部を含めてその存在を広く知ってもらう必要がある。PoCへの連絡手段としては専用のメールアドレスを用意し、公開しているところが多い。
また、PoCは社内と社外との接点になることから、コミュニケーションが得意な人材や関係者同士の調整能力に長けた人材を担当者に起用する方がよい。ニッセイ情報でもコミュニケーション力に優れた人材をPoC担当者に起用しているという。
PoCはCSIRTの構築で必ず必要になるといわれる。ただ、セキュリティインシデントの対応は、例えば社内端末で既知のウイルスの感染を検知したといったようなレベルも含めると、IT部門などが日常的に実施しているだろう。「『普段からインシデントに対応しているので、CSIRTは不要だ』と言われる方もいると聞く。しかし、セキュリティをより良いものにしていく上で、あえてCSIRTという存在を定義してみることに意義があると思う」と小澤氏は話す。
Copyright © ITmedia, Inc. All Rights Reserved.