第9回 「進撃の巨人」で知るインシデント対応 CSIRTとSOCの本質とは？：日本型セキュリティの現実と理想（2/3 ページ）

[武田一城，ITmedia]

急増するCSIRT、情報の集約がカギに

　筆者は、以前から知り合いにCSIRTメンバーなども多くいることもあり、一応の知識は持っていたが、より現状を深く知るために、日本シーサート協議会（NCA）にお伺いして、以下のような話を聞いた。

　NCAは2007年に設立されている。設立当初は先述のJPCERT/CCを含む6チームだけだったが、以降は加盟チームが順調に増加し、話を聞いた2014年1月頃には47チームになっていた。このチーム数はその後も急激に増加を続け、驚いたことに100チーム（2015/10/1現在）となっている。つまり、設立から7年かかったチーム数の増加ペースが、この1年半あまりで2倍超になったのだ。これは、加速度的に日本でCSIRTという組織が根付いてきていることを裏付けている。

NCA加盟手続きの流れ（NCA資料より引用）

　NCAへの加盟のハードルは意外にも低く、事務的な手続き以外の点は既に加盟している別のチームのどこかに推薦状を書いてもらうことくらいだ。（参考資料PDF）つまり、CSIRTと一括りにされているが、これではチームのメンバーの技術レベルにばらつきが出てしまう。それでは、同じCSIRTでも技術レベルによっては活動の効果を見込めない可能性があると感じた。

　しかし、NCAの担当者が「高度なセキュリティ技術力がなくてもCSIRTは効果がある」と説明されたことには非常に驚いた。その理由は「CSIRT同士の積極的なコミュニケーションを図ることによって、よりよいセキュリティ対応を考え、実現する」というNCAの目的にある。攻撃者たちは当然攻撃のプロだ。ゼロデイ攻撃のような誰も知らない脆弱性を衝く高度な攻撃から、システム管理者がセキュリティパッチをあてていない既知のセキュリティホールを衝くだけの単純な攻撃まで多種多様なノウハウを蓄積している。一方、防御側はあまりにも貧弱だ。攻撃者がどんどん巧妙化させる攻撃手法を知るすべもない。

　そこでNCAの活動は、この防御側のコミュニケーションを行うコミュニティとして防御のナレッジを共有することがポイントになっている。CSIRTやNCAがあれば、孤立無援かつ徒手空拳の絶望的な状況から、「情報」という槍や矛、鉄砲や大砲にも負けない武器を手に入れて戦うことができるのだ。

情報の集約がCSIRTの防具となる

名ばかりCSIRTでも設置効果はあり

　中小企業はもちろん、上場しているような大企業でも高度なセキュリティ人材を専任で雇用し続けることは非常に難しい。人件費などのコスト要因も大きいが、より深刻なのは、政府が「8万人が不足している]

（参考：NHK時事公論「どうする？ 情報セキュリティ技術者不足）と指摘する圧倒的なセキュリティ人材の不足だ。

　しかし、諦める必要はない。まずは組織内にCSIRTを作り、そこに情報を集めれば、（何ができて）何ができないのかが分かる。社内や外部の組織の情報を貯める“器”（＝CSIRT）を作ることで、その情報からセキュリティを保つために必要な意思決定や方向を定めることができるからだ。これにより、セキュリティマネジメントサイクルの第一歩がはじまる。

　よくPDCAという言葉を耳にするが、多くの場合はそのサイクルが1回で止まってしまう。セキュリティ対策も同様で、コンサルタントを入れてセキュリティポリシーなどを定めるだけで、その後のマネジメントサイクルを回し続けることは難しい。しかし、CSIRTに情報を蓄積して活用できるようになれば、その動き自体がサイクルを複数回したことと同義になる。これによって、セキュリティが担保されているかどうかの現状認識ができるようになり、外部からの不正侵入の探知やそのためのセキュリティ対策がしやすくなる。つまり、CSIRTを設置、活動させることで、セキュリティマネジメントを実現する体制と機能が実現する。

　たとえ、それが名ばかりCSIRTだったとしても、壁を作って対策済みとしてしまい、攻撃者が侵入しても気づかないか、見てみぬフリをしているような状況から、一歩でも二歩でも抜け出すことが大事なのだ。