米国にみるセキュリティ人材とCSIRT強化の課題解決：セキュリティインシデントに立ち向かう「CSIRT」（3/3 ページ）

[國谷武史，ITmedia]

対応力を高める情報連携

　人材不足と並んでSIRTを取り巻くもう1つの課題が、情報の活用や共有だ。インシデント対応では情報が欠かせないものの、経営層が外部に情報を提供したり共有したりすることに対して消極的であり、SIRTが思うように活動できないという声も聞かれる。

　「SIRTにおける情報活用としては、例えば、A社から顧客情報がどのくらい漏えいしたのかといった内容は重要ではない。役立つ内容は、例えばアプリーションの未知の脆弱性がどのような手口で悪用され、攻撃につながったのかといったことだ」（ハッカビー氏）

　つまり、情報活用や共有を図るには、SIRTが必要とする内容や重要度を明確にして、経営層に理解してもらわないといけない。「経営層もSIRTが情報共有する目的を知らないと、『自社のあらゆる情報が外部に知れ渡るのではないか』と疑念を抱いてしまう」

　SIRTが共有する情報の内容は、主に「ツール」「戦術」「手順」の3つがあるという。サイバー攻撃の場合、攻撃者の手口を知ることができる情報により、SIRTに先に手を打って攻撃阻止や被害抑止につなげていける可能性が高まる。手がかりになる情報を日頃から得たり提供したりできる外部との協力関係を構築しておくことが大切だ。

　また、情報共有の重要性は社内の組織間でも同じだ。重大インシデントに全社規模で対応するような事態では、SIRTが中心的な役割を担う。そのために、SIRTへセキュリティ関連のあらゆる情報を一元化し、分析のための機能や権限を持たせることが望ましい。

　「インシデント対応はログ分析だけでは不十分。全容を知るにはネットワークのトラフィックやパケット、脆弱性、IT資産、権限を含めたID情報など、ありとあらゆる情報が必要だ。SIRTはそれらを手掛かりに、事態の緊急性や作業の優先度などを適切に判断できる」

理想のSIRTとは？

　セキュリティインシデントと一言でいっても、実際には標的型サイバー攻撃から日常的なウイルス感染、さらには従業員による書類の紛失といったものまで多岐渡る。SIRTがインシデントにどう対応するのかによって、必要な人員構成や機能、権限などは異なり、企業の事情によって変わってくる。SIRTの形に“ゴール”はなく、100社あれば100種類のSIRTが存在する。

　しかし形態が違っていても、「SIRTは企業を守る」（ハッカビー氏）という存在意義は同じだ。

　企業内にもコンプライアンスや個人情報保護、事業継続、リスクマネジメントといった様々なビジネス上の問題に対応する専門的な組織がある。やはり組織は異なるが、「企業を守る」という存在意義は皆同じである。

　理想的なSIRTについてハッカビー氏は、「これまで目にしてきた成功企業は、SIRTが各部門と密に連携し、活動している。セキュリティリスクに対応する専門チームとして、周囲と連携しながら活動していけるようにすべきである」と語る。