自前でのインシデント対応は困難、企業間で広がるセキュリティ連携の動き:セキュリティインシデントに立ち向かう「CSIRT」(1/3 ページ)
セキュリティの脅威へ企業が単独で対応するのはもはや不可能と言われ、企業の枠を超えてセキュリティ対策で連携する動きが広がり始めた。企業間で連携する意義やポイントは何か――。
なぜ連携?
サイバー攻撃などの脅威が深刻な問題になる中、企業ではセキュリティインシデントに対応する「コンピュータ・セキュリティ・インシデント・レスポンス・チーム」(CSIRT)を設立するところが増えている。こうしたCSIRTは「企業CSIRT」などと呼ばれ、企業の内部で発生するインシデントへの対応が中心だ。しかし、複雑化する一方のインシデントに企業が単独で対応するのは非常に難しくなった。そこで企業の枠を超えて連携する動きが広まりつつある。
企業におけるインシデント対応は、セキュリティ製品やサービスを提供するITベンダーと協力して行うのが一般的だ。そこでの関係は基本的にビジネスであり、企業は顧客としてITベンダーから様々な情報や支援を受ける代わりに対価を支払う。ただ、こうした関係だけでは同業他社や他の業界の企業がどのようなインシデントに直面したり、問題解決に取り組んだりしているのかは分からない。
そこで他社の状況を知ることができれば、自社で起こり得るインシデントを未然に防いだり、万一の被害を抑止したりすることに役立つ。他社から協力を得るには、当然ながら自社からも協力を提供することが大切であり、お互いに協力し合える信頼関係を平時から築いておくことがポイントになる。
インシデントに立ち向かうコミュニティー
企業の枠を超えた連携では2007年4月に、「日本コンピュータセキュリティインシデント対応チーム協議会」(日本シーサート協議会)が発足した。当初は6チーム(日立製作所、インターネットイニシアティブ、ラック、NTT、ソフトバンク、JPCERT コーディネーションセンター)だが、2015年4月1日現在では83の“チーム”が加盟する。加盟者を“チーム”と表現するのは、参加企業によってCSIRTが正式な部署になっていたり、複数部門の担当者による仮想的な組織であったりと形態が異なるためだ。
運営委員長の寺田真敏氏によると、2000年代前半まではワームなどのセキュリティ問題を、企業が独自に対応できる場合が多かった。しかし、2005年頃からボットを使う標的型攻撃へとシフトする。セキュリティ問題の全体像を把握しづらくなり、独自での対応が難しくなった。「各社で起きている状況を足し合わせることができれば、問題解決につながる可能性が高まります。お互いに協力する枠組みとして協議会が立ち上がりました」(同氏)
日本シーサート協議会 運営委員長の寺田真敏氏(左)と運営委員の大河内智秀氏設立メンバーは、ITベンダーやインターネットサービスプロバイダー、インシデント調整機関などであり、セキュリティ分野の中でそれぞれに担当する範囲は異なっている。標的型攻撃のような複雑な問題に対応するには、異なる視点や情報をつなぎ合わせることが近道になるわけだ。
その後、2011年頃から標的型攻撃などの脅威が徐々に社会問題化し始めると、CSIRTを設立する動きも本格化していく。
「東日本大震災などを背景に『事故前提社会』という認識が一般に広がり、NISC(現・内閣サイバーセキュリティセンター)もCSIRTの必要性を提起しました。深刻な被害に遭う企業も現れ、CSIRTの構築が増えたとみています」(運営委員の大河内智秀氏)
現在の加盟チームの業態はIT・通信に加えて製造や金融、運輸などにも広がり、企業規模も大企業から中小企業まで様々だ。日本シーサート協議会の活動内容は、サイバー攻撃の手口や脆弱性問題、対策手法といった技術的なテーマに関する情報の共有や研究といったものから、CSIRT構築のアドバイスや加盟チーム間の関係強化の支援など多岐に渡るようになった。
ただ、設立当初からの“コミュニティー”としての枠組みは今後も変わらないという。参加チームの目的は、「自社を守るため」「自社のグループを守るため」「自社の顧客を守るため」とそれぞれに違い、協力し合える範囲や内容も異なってくる。立場や目的が異なるチームが信頼関係を醸成して円滑に協力していくためには、“コミュニティー”という形が適しているからだ。
寺田氏は、「最近ではIoTや制御系システムでのセキュリティが懸念されるなど、インシデントの様相は常に変化しています。問題解決が必要な時にメンバーがお互いに協力して行動していける“場”をこれからも提供したいと思います」と話す。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。