ANAグループやJPCERT/CCが説くインシデントレスポンスの要諦ITmedia エンタープライズ ソリューションセミナー レポート(1/4 ページ)

サイバー攻撃などの脅威を防ぎ切れない今、企業や組織に求められるのはインシデント(事故)の発生を前提とする対応(レスポンス)への取り組みだ。ITmedia エンタープライズ主催セミナーでは第一線の専門家がインシデントレスポンスにおける“要諦”を解説した。

» 2016年03月28日 08時00分 公開
最終公演まで多数の来場者が聴講した会場

 ウイルス感染やサイバー攻撃などの脅威を防ぐために企業や組織が講じてきたセキュリティ対策が難しくなりつつある。高度化する脅威に防御前提のアプローチでは通用しづらく、現在では脅威がもたらすインシデント(事件や事故など)の発生を前提にした対応(インシデントレスポンス)への取り組みが強く求められるようになった。3月18日に開催されたITmedia エンタープライズ編集部主催セミナーではJPCERTコーディネーションセンターやANAグループ、有力ベンダー各社の専門家がインシデントレスポンスについて解説した。

百社百様のCSIRTとインシデント対応の勘所

JPCERTコーディネーションセンター 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長 村上晃氏

 基調講演には、JPCERTコーディネーションセンター(JPCERT/CC) 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長の村上晃氏が登壇し、セキュリティインシデント対応での中心的な役割を担うCSIRTと対応について解説した。

 インシデントによる被害が多発する昨今、企業や組織ではCSIRTの構築を検討するところが増えている。JPCERT/CCへの相談も多いが、「どのように構築するのか」「必要な人数や予算は?」といった内容が多く、村上氏は逆にどのようなCSIRTを作るのか、何を守るのかを尋ねるという。

 インシデントの種類はマルウェア感染やWeb改ざん、情報漏えいなどさまざまだ。CSIRTを検討する上で大切なのは、企業や組織が守るべき対象と、その対象を脅かすインシデントにどう対応するかを明確にすること。当然だが、その対象やリスクになるインシデントの種類、その対応に必要な機能や目的などはもとより、文化や風土なども企業や組織によって千差万別である。それらを鑑みながらインシデントにどう対応するのかを定義し、自組織に合った体制やフロー、意思決定の仕組みといった必要なものを整備していく。つまり、CSIRT構築を含むインシデント対応とはリスク管理そのものというわけだ。

 有事で適切な対応を速やかに実施して被害を抑止するには、インデント状況の把握や対応での優先順位、作業範囲や担当者の役割・権限、内外の関係者との連携・調整の仕方などを事前に計画しておく。その中でCSIRTの役割も直接作業するのか、作業支援か、調整に徹するのかといった点を明確にする。既に有する機能や担当部門などを生かしながら、足りない部分を社内もしくは外部機関で補いながらCSIRTを形成していく。

 村上氏は、CSIRTに必須の機能として情報共有や連携活動における「窓口」と関係者間の「調整」を挙げる。巧妙化するサイバー攻撃などに企業や組織が単独で対応するのは不可能であり、外部から情報提供や実作業での協力が必要だ。連携の枠組みも平時から準備し、円滑な協力のためにも信頼関係をしっかりと構築しておくことが重要になる。

 インシデントそのものの検知や解析なども困難化しており、村上氏はセキュリティオペレーションセンター(SOC)の活用や、日頃からのログの収集・保全にも取り組んでほしいとアドバイスしている。

参考資料・JPCERT/CCの「CSIRTマテリアル」

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ