続・企業CSIRTの最前線〜先輩チームに学ぶ〜

「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?続・企業CSIRTの最前線(1/2 ページ)

組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。

» 2016年11月28日 08時00分 公開
[國谷武史ITmedia]

 企業や組織にとってセキュリティは、将来にわたる重要な取り組みだ。近年は「CSIRT」(コンピュータ・セキュリティインシデント対応チーム)などを立ち上げるケースが増えつつあり、その機能を維持・向上していけるかが新たな課題になり始めた。セキュリティチームが活躍し続けていくポイントについて、オーストラリアの連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏に聞いた。

 クラインマン氏は、データベースやネットワークの運用管理を中心にセキュリティ業界で25年以上の経験を持つ。税務局では14年にわたってセキュリティ対策やリスク管理、コンプライアンスなどを担当した人物だ。2016年6月からRSA Securityの日本・アジア太平洋地区担当チーフサイバーセキュリティアドバイザーを務めている。

チームやメンバーの活力を高めよう

 CSIRTの役割は、ポリシーやルールの作成・実施から教育・啓発、システムなどの対策、インシデントの対応など非常に幅広いが、実際には“百社百様”と表現されるほど、企業や組織によって異なる。ただ、サイバーセキュリティという観点からは技術的な役割を持つCSIRTが多い。

RSA Security 日本・アジア太平洋地区担当チーフサイバーセキュリティアドバイザーのレナード・クラインマン氏

 クラインマン氏は、税務局のセキュリティチームで技術面の責任者を担当。脆弱性管理、ペネトレーションテスト(システムのセキュリティ検査)、インシデント対応、ツール・サービス開発、脅威インテリジェンスを担当するメンバーによるチームを編成した。特にペネトレーションテストやインシデント対応は、CSIRTに必要な機能だと話す。

 こうした技術面を支えるメンバーに求められる資質については、「パズルを解き明かすことが好きな人が向いているでしょう」という。

 例えば、ペネトレーションテストは、担当者がサイバー攻撃者の視点でシステムに講じられているセキュリティ対策の弱点を洗い出す。幾重にも講じられた対策は、攻撃者から見ればパズルのようであり、実際に弱点を探してそこを突きながら侵入する。攻撃者が狙うポイントが見つかれば、その部分の対策が必要だと判明する。

 これはインシデント対応でも似ているといい、攻撃者が自社のセキュリティ対策をどのように突破し、侵入範囲を広げたのかを把握しなければならない。攻撃側と防御側というように視点は異なるが、ここで求められる基本的なスキルは同じという。

 インシデント対応のメンバーをまとめる立場として脅威に対応する上では、攻撃側と防御側の視点からシステムなどのIT環境を理解し、構成や状況を把握できていることが基本になるという。インシデント発生時は、状況を理解して各メンバーへ適切な指示を出さなければならないし、その内容や結果についても将来の対応で役立てるために記録に残す。また、事業部門や経営管理部門といった関係部署と連携するためには、コミュニケーション能力も欠かせない。

 クラインマン氏は、チームメンバーがさまざま役割を経験してキャリアアップやスキルの向上につなげられるようにすることが、セキュリティチームの機能を維持・強化する大きなポイントだと話す。セキュリティ人材は世界的に不足しており、キャリアアップや高い報酬を目的に、よそへ移ってしまうリスクがある。

 「セキュリティ人材は挑戦を魅力だと感じています。例えば、6週間ごとに侵入テストとインシデント対応の業務を交代したり、数カ月間はツールの開発、その後の数カ月は脅威分析を担当したりと、業務ローテーションでスキルを高めながら、キャリアを積めるようにしていく方法があります」

 また突然発生するインシデントに備えて、メンバーには常に緊張が強いられる。クラインマン氏が編成したチームでは、最も多い時期で17人のメンバーがおり、そのうち3人がインシデント対応担当者として24時間体制で交代しながら業務にあたった。そこで例えば、金曜日をカジュアルデーにしたり、休暇日には外部セミナーやトレーニングを受講できるようにしたりと、通常業務が過大なストレスにならないよう工夫したという。

 「2年に一度はチームのメンバーをBlackHatなどのセキュリティカンファレンスに派遣して、世界のセキュリティ専門家のスキルを学べるようにしました。チームメンバーが仕事を楽しめるカルチャーにしていくことも大事です」

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ