「サイボウズ式」CSIRTの構築と機能を維持するポイントは何か?:セキュリティインシデントに立ち向かう「CSIRT」(2/2 ページ)
クラウドやグループウェアでおなじみのサイボウズだが、CSIRTや脆弱性対策など様々な活動も積極的に展開している。CSIRTの構築やセキュリティインシデント対応での経験、機能する体制を維持していくためのヒントを聞いた。
インシデント発生、その時は?
Cy-SIRTが担う3つの業務――インシデント予防、品質管理、事後対応――の具体的な内容は次の通りだ。
- インシデント予防:脆弱性検査、脆弱性報奨金制度、社内セキュリティ支援、CSMとの連携、セキュリティ情報の収集と発信、他CSIRTとの連携
- 品質管理:セキュリティ仕様の管理、脆弱性情報の管理
- 事後対応:インシデント対応支援、脆弱性情報のハンドリング
Cy-SIRTではこれまで様々なセキュリティインシデントに対応してきた。
例えば、WordPressの脆弱性が原因で同社のブログサイトが改ざんされた事案は、管理担当者がサイト上で「見慣れない文字列」を見つけたことで発覚した。状況を把握した後にマルウェアに感染した端末をネットワークから分離。感染端末を詳細に分析調査すべきか、駆除と復旧を行うべきか、対応方法を検討して、関係者間での合意のもとに駆除と復旧を実施した。同時にIPAの「情報セキュリティ早期警戒パートナーシップ」を通じて情報を提供し、IPAからのアドバイスを活用しながらブログシステムの再構築を含む対応を実施したという。
「このケースは社内でのフォレンジック(詳細な分析調査)が難しく、外部に委託しても対応に時間がかかるため被害が拡大する恐れがあります。被害抑止を優先していますので、フォレンジックは行うケースはほとんどありません。マルウェアの検体を確保し、侵入方法を把握できれば、その他のコンピュータでも痕跡などを調査できます」
なお、現在まで同社のコンピュータに感染したマルウェアから情報が密かに流出するといった事態は確認されていないという。
一方、2014年5月に同社が発表した「個人情報を含むノートPCの紛失」のインシデントは、多方面への対応が必要になった。この事案は、同社の従業員が列車で業務用のノートPCを入れた紙袋を紛失したもので、PCには顧客や取引などに関する情報が保存されていた。同社は直ちに鉄道会社や警察に連絡し、当日夜にこのノートPCから社内システムにアクセス可能なアカウントを停止。PCは当日夜に発見され、同社が翌日に回収している。
同社は、OSログイン時のパスワード認証やデータ暗号化ソフトの導入といったセキュリティ対策を実施していた。しかし、この事案でPCをフォレンジック調査したところ、データ暗号化ソフトがOSの設定を書き換えてパスワードのログインを無効にしてしまう脆弱性が判明した。紛失したノートPCでは第三者が複数回にわたってログインした形跡が確認され、保存情報が閲覧された可能性もあった。
「この事案は情報漏えいの可能性があり、PCをフォレンジック調査しましたが、調査からソフトの脆弱性も見つかりました。このため、IPAを通じてベンダーに脆弱性の情報を提供し、一般への情報公開のタイミングや手順などに関する調整にもあたりました」
CSIRT連携のメリットと難しさ
このようにセキュリティインシデントが発生すると、自社だけでは対応しきれない場合に、外部機関との連携が必要になる。連携をスムーズにするためにも、平時から相互協力ができる関係を築いておくこともポイントだ。
Cy-SIRTでは2014年に日本シーサート協議会やWebサービス各社のCSIRTが参加する団体に加盟し、ワーキンググループなどへの参加を通じてサイバー攻撃などの脅威動向や対策に関する情報の共有、インシデント対応におけるアドバイスの提供といった交流を重ねている。「CSIRTが守るべき対象や身に付けるべき技術やノウハウは変化していくため、他社の取り組みを参考にしたり、当社の取り組みを紹介したりできる関係が大切です」
ただ、海外機関などとの連携では難しさもあるという。言語や時差、文化といった壁を乗り越えたコミュニケーションが求められる。「脆弱性対応のケースでは海外ベンダーやその国のCIRT機関など調整する場合、相手のルールに従って進めていく場合があります。そのための工数は国内の場合と比較できないほど多く、やはり日本の窓口となるJPCERT/CCに協力してもらうなどしないと大変です」
機能し続けるCSIRTを実現するには?
CSIRTの構築をはじめ企業でのセキュリティ強化の取り組みが広まる中、人材やスキル不足の問題も指摘されている。サイボウズでは今春にCy-SIRTの人員を拡充させたい考えだという。
「CSIRTが守るもの、そのための役割や業務が決まれば、必要となるスキルやそのレベルがみえるようになり、業界標準に照らして足りないところを補っていくのがよいでしょう。必要なスキルなどをしっかりと把握していれば、社内で育成するなどの対応ができます。いま人材不足が叫ばれていますが、スキルや業務内容があいまいな状態で悩んでいる組織もあるのではないかと感じています」
伊藤氏がアドバイスするように、“機能する”CSIRTの実現にはCSIRTが保護する対象や範囲を明確にして、そのために必要な役割、機能、権限、指揮系統などを整備することがポイントだ。
「何を、どこを守るのかを明確することが必須です。仮に情報システム部門が取りあえず対応するような体制にしてしまうと、どんなことでも担当者に集中して常に追われる状況が生じるでしょう。CSIRTの役割が社内外で認知され、状況の変化へ柔軟に対応できることが大切です」
関連記事
- 煩雑化するセキュリティインシデントの対応、企業で広がるCSIRTとは?
近年はウイルス感染やサイバー攻撃などのセキュリティインシデントが増加し、対策製品だけでは防ぎきれない状況だ。そこで万一の時には、組織的な対応で被害抑止につなげるアプローチが注目されつつある。企業で取り組みが広がる「CSIRT」とはどのようなものか。 - インシデント発生を前提に考えるサイボウズのセキュリティ対策とは?
完璧なセキュリティなどあり得ない――サイボウズが自社製品における脆弱性対策やインシデント(事故や事件など)における対応などについて語った。 - 怪しい動きは自社でも調査 大成建設に聞くセキュリティの取り組み
昨今のセキュリティ対策ではサイバー攻撃などのインシデント(事故や事件)へ迅速な対応をできることが強く求められている。大成建設はそのためのチーム「T-SIRT」を2013年に結成した。T-SIRT誕生の経緯や日々の活動とはどのようなものか――。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.