アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題ITmedia エンタープライズ セキュリティセミナーレポート(1/4 ページ)

ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。

» 2018年01月26日 08時00分 公開
[タンクフルITmedia]

 グローバルな視点でサイバー攻撃の脅威からどう企業を守ればいいか。一向に減ることのないセキュリティインシデントに対抗する組織をどう作ればいいのか――。

 ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、アクサ生命保険のCISO(チーフインフォメーションセキュリティオフィサー)である川添太誠氏が、同社のCSIRTとサイバーインシデントレスポンスの取り組みについて、講演を行った。

photo 大手生命保険のアクサ生命は、どのようなCSIRTを構築しているのか?

インシデントレスポンスは「事業継続」と統合すべし

photo アクサ生命保険 情報セキュリティ チーフ・インフォメーション・セキュリティ・オフィサーの川添太誠氏

 アクサ生命では、CSIRTをインド、シンガポール、日本の3拠点を結ぶ体制で運営している。シンガポールにデータセンターがあり、インドのSOC(Security Operation Center)がデータセンターの運用監視を行い、問題があれば日本へ連絡するという仕組みだ。川添氏は「CSIRTの運用と関連プロセスを危機管理・事業継続のフレームワークにひもつけたことが成功のポイント」と話す。

 川添氏によれば、日本は地震や津波などの大型災害が多いことから、既に危機管理や事業継続のフレームワークが確立されているという。その基本方針や規定の下に、危機管理マニュアルや防災マニュアル、プロセス管理、ITのDR(ディザスタリカバリー)などがある。この危機管理マニュアルに情報セキュリティインシデントに関するインシデント管理をひもづけ、危機管理や事業継続に統合される形にしているのだ。このメリットを川添氏は3つ挙げる。

  • 防災訓練と同じ目線で全社展開することが可能になり、エンドユーザーの参加意識向上が見込まれる
  • ビジネスへのインパクトが、事業継続の問題としてトップマネジメントに確実に伝わる。そのため、社長や役員もサイバー演習に参加している
  • 連絡体制が一本化できるため、地震や津波などの災害とサイバーインシデントが同じ体制で対応できる

 同社では、脅威レベルを「通常防御」「脅威」「インシデント」の3段階に分類している。「通常防御」は日常的なセキュリティ対策や監視を行っている状態。次の「脅威」は、ランサムウェア「WannaCry」の報道が最初に出たときのように、世界的なニュースになっている脅威が出現した際に使うレベルだ。

 実被害がなくても、事業継続へのインパクトを想定し、小規模の対策本部を設け、内外の情報を集めながら、セキュリティパッチの適用、外部の不審なサーバアクセスの遮断やウイルス定義の更新など、技術的対策の進行具合を確認するという。

 「通常モードの次がインシデントではなく、その間に『脅威』というレベルを置くことで、攻撃を受けていなくても動くようにしているのが重要。脅威の段階で、管理職と連絡を取る体制になっている」(川添氏)

 こうした体制のもとで、2017年5月、ランサムウェア「WannaCry」の世界的な大規模感染が発生した際は、次のような初動対応を行ったという。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ