記号化するCSIRTの本質「不要となることこそ理想の姿」阿部恭一×辻伸弘が語る(1/3 ページ)

これまでの特集は、CSIRT内部の実情を詳細に聞いてきた。特集第4回となる最後は、識者の対談形式により、CSIRTを客観視することでその本質に迫る。

» 2020年09月23日 07時00分 公開
[宮田健ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ITmediaエンタープライズの特集「手の届くCSIRT論」は、これまで識者の語るCSIRT論や現場におけるCSIRTの現状を伝えてきた。

 特集第4回の今回は、セキュリティの最前線にいる識者に“客観的に”CSIRTを語ってもらう。登場するのは、これまで全日本空輸(ANA)グループのCSIRT「ASY-CSIRT」で活躍し、現在でもCSIRTの最前線にいる、交通ISAC事務局長の阿部恭一氏と、セキュリティリサーチャーとして活躍する、SBテクノロジーの辻伸弘氏の二人だ。それぞれの立場から意見を聞いた。

CSIRTは「閉鎖的」? 辻氏がCSIRTに距離を置く理由とは

――辻さんは、セキュリティの世界にいるものの、CSIRTとはやや異なる立ち位置かと思います。現状、CSIRTを客観的に見てどのように感じていますか?

セキュリティリサーチャーとして活躍する、SBテクノロジーの辻伸弘氏

辻伸弘氏(以下、辻氏): SBテクノロジーにもCSIRTはありますが、私自身はメンバーではありません。

 当社のCSIRTの構築は、まだ「日本シーサート協議会」の加盟数が300チームもいない段階(注)でした。その時期に、知人と「日本シーサート協議会の登録者数が増えている」という会話をしていたのですが、「辻さんの会社も加盟していますよ」と言われ、初めて知ったくらいですから。そのくらいノータッチです。

 私は、CSIRTや協議会に対して否定的ではありませんが、当社のCSIRTを含め、あえて距離を置いています。なぜならこうした組織から得た情報は、外部に出せないものも含まれるからです。私は、リサーチャーとしていろいろな情報を調査し、独自に情報を入手しますが、一方で同じ情報がCSIRTやシーサート協議会から聞こえてくる可能性があります。

 つまり情報を伝えるスタンスが、私とCSIRTのような組織とでは異なっています。バランスが非常に難しいですが、私は情報として出せるものは出した方がいいと思いますし、そうした情報は「多くの人に届くようにするためには」という観点で、精査するのが良いと思っています。

 製品情報やCMなどは、マスメディアに情報を出します。もしセキュリティ情報を同様に広めた場合、“攻撃者”がマスメディアから情報を得るかもしれない。そうした情報が“攻撃者”の利となる可能性があります。そのためCSIRTのような組織は「外部へ出す情報を絞る」という考えになるのでしょう。その結果「本来届けたい相手に情報が届かない」という弊害が発生する可能性があります。

 また、ある情報が必要か不必要かを考える以前に、同様の被害に遭う人たちを減らすことも考えないといけません。そのためには「情報を出す」「情報を出さない」だけではなく、「情報の出し方」が重要になると思います。「どうしたら情報を出せるのか。どういう形なら情報を出せるのか」そこを考えた方がいいでしょう。

 加えて「セキュリティ情報の共有を、業界ごとに絞ることが本当にいいことなのか」という論点もあります。業界に関係なく、さまざまなインシデントが発生している状況を考えると、縦割り的な取り組みは、あまりいい結果を生まないのではないかと思うのです。

 情報は必要なところに届けた方がいいと思います。そして「情報を絞るフィルターを、厳密に設定することは難しい」というのが私の持論です。それに情報が必要かどうかは、受け取った人にしか分からない。攻撃者に利する情報かどうかも、同様に情報を出してみないと分かりません。情報を出しても分からないかもしれない。ですから、サイバー攻撃に利するリスクより、情報を出してみてそこから議論を始めるのがいいと思います。

注:2020年9月時点は401チーム

情報を出す基準を明確に そして情報をどう届けるのか

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ