CSIRT小説「側線」 第5話：時限装置（後編）：CSIRT小説「側線」（1/5 ページ）

企業を守るサイバーセキュリティの精鋭部隊「CSIRT」のリアルな舞台裏を目撃せよ――メタンハイドレート関連の貴重な技術を保有する、ひまわり海洋エネルギーの新生CSIRT。新たなインシデントに直面した若手メンバーが、ベテランに追い付きたい一心で引き起こした「思わぬ事態」とは……？

[笹木野ミドリ，ITmedia]

この物語は

一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT（Computer Security Incident Response Team）」。その活動実態を、小説の形で紹介します。コンセプトは、「セキュリティ防衛はスーパーマンがいないとできない」という誤解を解き、「日本人が得意とする、チームワークで解決する」というもの。読み進めていくうちに、セキュリティの知識も身につきます

前回までは

メタンハイドレードを商業化する貴重な技術を保有するひまわり海洋エネルギー。新生CSIRTの若手メンバーである潤とつたえは、これまで学んだことをチームに役立てようと、インシデントの一報を受け取ってすぐ「ある行動」に出た。それがチーム全体に思わぬ事態を引き起こすとも知らずに……

これまでのお話はこちらから

＠インシデント対応部屋

虎舞秀人：インシデントマネジャーの志路大河に引っ張られてCSIRTに加入。システム運用のことを熟知している。志路を神とあがめる。CSIRT全体統括とは馬が合わない。関西弁。イケメン

　電話が幾つも鳴っている。

　「いままで何ともなかった端末で、いきなりアイコンが白くなりだしているそうです！　それも一斉に」

　虎舞秀人（とらぶる　しゅうと）は電話を取りながらボードに状況を書き込んだ。

　「被害端末は12台。第2報時に異常が起こっていた端末は1台だけだったのに、いきなり残りの11台までおかしくなり始めたのね」

　本師都明（ほんしつ　メイ）が虎舞に確認する。

　インシデント対応部屋には、メイ、志路（しじ）、虎舞、宣託（せんたく）、そしてノーティフィケーション担当の懐柔善成（やわらぎ　よしなり）――通称「善（ぜん）さん」が集まっていた。今回は業務部門に影響が出ているためだ。

　「ノーティフケーション担当」とは、業務やシステム部門に向けた情報発信の他、各部門への連絡事項や依頼事項の説明、部門間の調整などを行う役割のことだ。セルフアセスメントと同様、対人スキルが要求される。

懐柔善成：通称「仏の善（ぜん）さん」。理詰めで話もできるのだが、普段は情緒的に折衝する。落としどころを見つけるのもうまい。

　宣託が言う。

　「今回の攻撃の影響は、お客さま向けではなく、社内業務よ。ランサム（ウェア）ならば、感染拡大を防ぐのが最優先。暫定対応ができるまで復旧は待って。メイ、指示！」

　「はい。ランサムの可能性を考えて、該当の端末12台で不審な通信が起こる前にどんな操作が行われていたのか、感染拡大の可能性も含めてSOCで調査して。善さんは、影響の出ている部門で何か気になる操作はしていなかったか、聞いてきて、虎舞は……」

　メイが指示を出している間に電話が鳴った。

　宣託が受話器を奪い取って言う。

　「共有ファイルサーバにアクセスできず。暗号化されている模様」

宣託かおる：前任のCSIRT統括であるコマンダーやインシデントマネジャーとは戦友。メイに対しては将来性を感じ、厳しく支えている

　メイは出そうと思っていた指示を差し替え、

　「虎舞は復旧時間の見積もり！　まだ復旧はしないけど、バックアップから本システムに戻せるまでの時間だけを調査しておいて。分かったら善さんに伝えて」

　と叫ぶ。

　「つたえは小堀（こぼる）さんに……え？　つたえ、来ていないの？」

　周りを見渡したメイの言葉がしぼむ。

　テレビ会議のスピーカーから声がする。見極だ。

　「SOCから報告。パターンを分析したところ、ランサムウェアと判明した。世界情勢とも比較して確認したが、時限装置付きのランサムウェアだ」