メディア

アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題：ITmedia エンタープライズセキュリティセミナーレポート（2/4 ページ）

» 2018年01月26日 08時00分公開

　「欧州の本社から第一報を受けたのち、正確な情報が出たのが金曜日の夜。最新情報を集めながら、土曜日にかけて全てのサーバ、エンドポイントを確認し、マネジメントにもパッチの適用率を逐一報告した。日曜日には、全社アナウンスの体制を整えた。

　月曜日の朝には、エレベーターの中、ビルの入り口、オフィスのドア、PCの壁紙、デジタルサイネージなどで脅威の発生を告知し、怪しいメールは開封せず、出勤後すぐにPCをリブートするよう周知できた。危機管理のフレームワークという下地があったので、危機管理・事業継続部や社内広報との連携などがスムーズにできたと思う」（川添氏）。

“本気の”サイバー演習で見えた課題

　このようなインシデント対応体制とともに、川添氏はサイバー演習の必要性も訴えている。「攻撃者に本気で狙われたら、いくら防御しても完全には防げない。インシデントは起きるからこそサイバー演習は必要」という考えから、同社では毎年サイバー演習を実施している。

　「2017年は標的型攻撃メールにより個人情報30万件が漏えい、そのうち、ヘルスデータが8万件含まれるというシナリオで演習を実施し、マネジメントのリアクションとビジネスへのインパクトを重点的に分析した」（川添氏）

　今回のサイバー演習で同社は、初動対応でシステムを止める決断に挑戦した。原因究明とマルウェアの駆除が終わるまで、外部へのWebアクセスやメールの送信、ファイルサーバへのアクセスを遮断する提案をしたのだ。ここでマネジメントがどう決断するかを見たのだが、川添氏は結果について「机上では把握できていなかった多くの課題を演習によって認識することができた」と評した。次回の演習に向けた一番の課題は、ビジネスへの影響範囲の分析を、危機発生時にどこまで詳細にまとめる体制ができているかという点だという。

　また、総合的な演習を1日かけて行うのは非効率だという課題も浮上したため、2018年は、1つのセグメントを深堀りした演習を複数の日程で実施する予定だという。演習を実施して、課題を抽出することで「マネジメントとのタッチポイントが増える」と川添氏。その意味でも、サイバー演習は“次につながる”と感じている。

　こうした取り組みは、結果ありきではなく、「まず取り組んでみることが重要だ」と川添氏は強調する。

　「サイバー演習もインシデントレスポンスプロセスも、初めから結果を出そうとするのではなく、まずはやってみること。トライアンドエラーの精神で取り組むことで、ユーザーの賛同と経営層の関与が得られると実感した。

　CSIRTの取り組みは、ログ解析など技術面にスポットが当たりがちだが、ソフト面も重要。ポリシーを作成し、サイバー演習を全社で実施して、経営層の参加意識も高めていく。テクノロジーに頼りすぎず、ガバナンス強化や教育啓もうで情報セキュリティ力を強化することが、CSIRT、ひいてはインシデントレスポンスの最終形だと思う」

「特権IDの不正利用」を防ぐには？

DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。
「うちのセキュリティ担当たちはすごいんです！」　対応チームを続ける秘訣とは？
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。
急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。
インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。