インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言（2/3 ページ）

[國谷武史，ITmedia]

インシデント対応の“障壁”

　国内で多発するセキュリティインシデントだが、西本氏はインシデントに対応しようとする企業は危機感を伴っている点で良い方なのだという。

　大抵のケースではそもそもインシデントに気が付かず、外部から通報されてようやく事態を知る。それでも対応しなかったり、遅々として対応が進まなかったりする企業は少なくないようだ。真鍋氏によれば、JPCERT/CCがインシデント発生の可能性のある当事者企業などへ連絡する際に、まずJPCERT/CCがどのような組織なのかを説明しなければならないことがあるという。その説明をしている間にも脅威は進行し、被害が拡大しかねない。

　各氏は、インシデントの対応ではCSIRTのような機能や組織を“カタチ”として整備するだけでなく、実際に適切かつ有効に働くようにする必要性を挙げる。

日本シーサート協議会 運営委員長の寺田真敏氏

　「インシデント対応にまつわる言葉やプロセスといったことを知らなければ、その説明だけで時間を費やしてしまう。スムーズな対応には（CSIRT同士の）相互理解や共通認識が欠かせない」（寺田氏）

　「（標的型攻撃の被害が顕在化した）2010年頃を境に。企業が自前でインシデントに対応できないようになってきた。対応体制やCISO（情報セキュリティの最高責任者）を作るだけではなく、対応そのものに慣れることが重要だろう」（阿部氏）

　つまり、CSIRTのような仕組みを“器”として作るだけでは、インシデント対応は不十分というのが各氏の見解だ。西本氏は、サイバー攻撃など情報資産に危機をもたらす脅威には、「セキュリティインテリジェンス」と呼ばれる脅威に対抗するための情報活用が欠かせないと話す。

　「サイバー戦を制するには情報が必要。ところが日本は、水と安全と情報はタダという意識が強い。脅威に対抗するための情報はタダでは手に入らないし、情報を使うにもその重要性や意義を理解していないといけない」（西本氏）

　インテリジェンスのような対抗手段は、単に待っているだけでは手に入らない。インシデントに対応する人々や組織がお互いを信頼、連携してインテリジェンスを生み、活用していく環境も求められるという。