セキュリティ人材がいないなんて大ウソ？ ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法（2/3 ページ）

[高橋睦美，ITmedia]

　そんなふうにして対応領域を広げてきたASY-CSIRTだが、人が無限にいるわけではなく、そもそもサイバー攻撃に関しては、年々手口が巧妙化している。

　「セキュリティ機器を導入しても、3年も経てば攻撃側もそれを乗り越える手段を作ってくるため、常々新しいものに入れ替えていかなければならず、非常に『カネのかかる話』なのも事実。民間企業にとってこれは非常に厳しい話です」（阿部氏）

　そこでANAでは、何か新しいソリューションやシステムを検討する際には、「今あるものと、足し引きでゼロにするように考えています」（阿部氏）という。

　CSIRTの業務の中で、「何をオンプレミスで自力でやるのか、それともアウトソーシングしたり自動化するか」を見極めた上で、限られた人数でやりくりし、新たなジャンルに担当を割り振ることもできるそうだ。一例として、DDoS対策やスクレイピング対策としてCDNサービスを全面的に導入し、ANAのシステムに到達する前にCDN側ではじく仕組みを採用したという。

「ASY-CSIRTは味方」と思ってもらうために

　ASY-CSIRTは、主に4つのチームに分かれて活動している。1つはインシデント対応。2つ目は各方面との連絡や法令対応に当たるグループだ。さらに、各国を回ってセキュリティアセスメントや教育を行うグループと、システム構築時にガイドラインに沿っているか適合確認を行うグループがある。

　4つ目の適合確認は、会社によっては品質管理やテスト部門が行っているケースもあるだろう。ANAグループの場合は「私たちはシステムを作っている会社でもあります。ANA Sky Webのように日本でも有数の利用者があるサイトもあり、ちょっとでも穴があってはいけません」（阿部氏）という考え方から、ASY-CSIRTとして各サイトやサービスが満たすべきガイドラインを策定し、各プロジェクトがそれを守って開発しているかを確認している。

　開発プロジェクトの流れの中で、最低でも3回はガイドラインの適合確認を行うそうだ。まずは計画時で、RFPを提示する際に非機能要件としてどんな事柄を書かなければいけないかを確認する。次に、開発計画書を作成した段階で、セキュリティに関する要求事項が全て盛り込まれているかを確認する。三度目はシステムテストの前の段階だ。

　「世の中、システム開発ってそんなに順調にいくものではありませんよね。コストが超過したり、スケジュールが延びたり、でも稼働日は動かせないといったジレンマの中で開発をしているわけですが、その中でセキュリティの要求事項が削られていないか、『いやぁ、お金がなくなったんで、ここ削りました』ってことがないかを確認しています」（阿部氏）

　最後に稼働前の脆弱（ぜいじゃく）性診断を実施し、余計な作業ファイルやアカウントが残ってないかといった事柄も含め最終チェックを行う。これを、全てのプロジェクトについて実施しているそうだ。

　その際に大切にしているのは、決して現場と敵対関係に陥らないことだ。「やっていると必ず、『こういうわけでガイドラインを守れません』といった話が出てきます。そのときに上から目線で『守ってください』で終わるのではなく、代替案を出せるか、それがわれわれの実力だと思っています。それができれば、『ASY-CSIRTは自分たちの味方なんだ』と思ってもらえます」（阿部氏）

　もし、上からガイドラインを押し付けてしまうと、「削っちゃった項目があるけれど、言わないでおこう」と隠すケースが出てくる恐れがある。「隠蔽（いんぺい）は、発覚したときに大火事になるんですよ。一般のCSIRTはボヤは消せますが、大火事は消せません。そんな大火事になる種を仕込ませないために、現場の人と仲間になり、信頼関係を築いて『私たちは味方です』と思ってもらうことがポイントですね。だから、現場から来た相談は絶対に断りません」（阿部氏）

　グループ全体で4万人もの従業員がいると、ボヤは日常茶飯事だが、ボヤをボヤのうちに消し止めることで大きな事故を防いでいるという。またセキュリティ監視によって、日頃からどのくらい不審なメールが届き、ブロックしているかを数字で把握することで、セキュリティルールの必要性を納得してもらう材料にもしているそうだ。

　一例が、国内で2017年から急増したマクロ付きの不審なメールだ。ANAグループでも、月に6万件ものマクロ付きメールが送られてきていることが分かったため、拡張子に基づいてフィルタリングすることにしたという。中には「業務でどうしてもマクロ付きファイルをやりとりする必要がある」という意見もあったが、月間6万件という数と、標的型攻撃メール訓練で得られた開封率の数値を示しながらリスクを理解してもらい、同意を得た。もちろん同時に、代替策を提示することも忘れなかったという。その策は……ここでは伏せておこう。