組織の階層で異なる「セキュリティ」への考え方 インシデントに対応する組織間の問題：セキュリティ担当者の独り言（2/2 ページ）

[伊藤聡司，ITmedia]

「どうするべきだったか」は組織の状況により異なる

　繰り返すが、ケースAとBはどちらかが正しい、間違っているというわけではない。これは、実際に対応している組織全体の実力や対象となるシステムによってベストな動き方が変わるからだ。

　緊急時の点検においては、確認手順のマニュアル化や発信側と受信側の物理的な距離、普段のコミュニケーションの多寡といった「平時の備え」に加え、直近のインシデント発生状況、経営層やCISOの意向によっても優先度は変わる。しかし、より決定的な分岐点は「管理すべきシステムの構成情報を漏れなく正確に管理できているか」だろう。

　例えば、システムの正確な情報が発信側に集まっていない組織において「極めて致命的な脆弱性の点検」が必要となった場合は、情報の精査に時間をかけるよりスピードを優先して全システムの点検をした方が、組織全体のリスク軽減につながる。

　一方、システムの正確な情報が整理されている組織においては、短期間で情報が選別できるため、全体確認はかえって無駄が増える。正確な情報に基づいて致命的な問題を狙い撃ちする方が問題を早期に解決できる可能性が高い。

　理想とするべきなのは後者の例だろう。しかしこれは現実として、難易度が高い問題である。

理想的な情報発信を困難にする「構成管理」の難しさ

　組織の規模が大きいほど、発信側がシステムの構成情報を最新の状態で正確に管理することは困難になる。管理すべきシステムやサービスを構成する機器は多岐にわたり、さらにバージョン情報などの表記規則も製品ごとに異なるためだ。

　理想的な情報発信のために構成情報を収集し管理する作業は、非常に難易度が高い。情報収集のためのヒアリング対象は組織全体に及び、ヒアリング項目には一貫性が必要となる。規模もポリシーも異なる多種多様な機器の情報を集められるフォーマットを用意し、現場の担当者はそのフォーマットに従って自身が管理するシステムの構成情報を漏れなく正確に抽出し、常に最新になるようにメンテナンスしなければならない。

　それでは、専用のシステムを構築して構成管理情報の仕事を自動化してみてはどうだろうか。この場合は、情報の正確性の確認や情報の取得方法（インターネット経由か内部から見るか、エージェントを利用するか）、さらに情報収集システムのメンテナンス性なども検討する必要がある。そのため大抵の場合の自動化は一部にとどまり、システムを構築する費用対効果に疑問が残ってしまう。

　完璧な仕組みを保持できる組織は、ごく一部なのだ。

自社の立ち位置でも考え方はかわるもの

　最後にセキュリティインシデントに対応する関係者は立場によって、目的や考え方、求められるミッションが異なる。

　次回は、この立場の違いをサービス提供側と顧客側、さらにはその双方と共にあるITベンダーの立場について「極端な例」を用いて解説し、それぞれの立場に対する筆者の提言を述べていきたい。

伊藤聡司（いとう さとし）　みずほ情報総研株式会社

入社後、一般先向けアプリケーション開発、みずほグループ向け基盤構築業務を経てクラウド、スマートフォンサービス検証業務に従事。

2014年よりインターネットバンキングシステムの不正送金対策を担当しセキュリティ業界入り。

2015年よりみずほフィナンシャルグループのセキュリティ担当も兼務し、そこからセキュリティ業界に完全に染まる。

2018年よりみずほグループ向けコーポレートサイト基盤のセキュリティ対策と標的型攻撃メール訓練サービスを担当し現在に至る。