アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題:ITmedia エンタープライズ セキュリティセミナーレポート(1/4 ページ)
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。
グローバルな視点でサイバー攻撃の脅威からどう企業を守ればいいか。一向に減ることのないセキュリティインシデントに対抗する組織をどう作ればいいのか――。
ITmedia エンタープライズが11月に開催したセキュリティセミナーでは、アクサ生命保険のCISO(チーフインフォメーションセキュリティオフィサー)である川添太誠氏が、同社のCSIRTとサイバーインシデントレスポンスの取り組みについて、講演を行った。
インシデントレスポンスは「事業継続」と統合すべし
アクサ生命では、CSIRTをインド、シンガポール、日本の3拠点を結ぶ体制で運営している。シンガポールにデータセンターがあり、インドのSOC(Security Operation Center)がデータセンターの運用監視を行い、問題があれば日本へ連絡するという仕組みだ。川添氏は「CSIRTの運用と関連プロセスを危機管理・事業継続のフレームワークにひもつけたことが成功のポイント」と話す。
川添氏によれば、日本は地震や津波などの大型災害が多いことから、既に危機管理や事業継続のフレームワークが確立されているという。その基本方針や規定の下に、危機管理マニュアルや防災マニュアル、プロセス管理、ITのDR(ディザスタリカバリー)などがある。この危機管理マニュアルに情報セキュリティインシデントに関するインシデント管理をひもづけ、危機管理や事業継続に統合される形にしているのだ。このメリットを川添氏は3つ挙げる。
- 防災訓練と同じ目線で全社展開することが可能になり、エンドユーザーの参加意識向上が見込まれる
- ビジネスへのインパクトが、事業継続の問題としてトップマネジメントに確実に伝わる。そのため、社長や役員もサイバー演習に参加している
- 連絡体制が一本化できるため、地震や津波などの災害とサイバーインシデントが同じ体制で対応できる
同社では、脅威レベルを「通常防御」「脅威」「インシデント」の3段階に分類している。「通常防御」は日常的なセキュリティ対策や監視を行っている状態。次の「脅威」は、ランサムウェア「WannaCry」の報道が最初に出たときのように、世界的なニュースになっている脅威が出現した際に使うレベルだ。
実被害がなくても、事業継続へのインパクトを想定し、小規模の対策本部を設け、内外の情報を集めながら、セキュリティパッチの適用、外部の不審なサーバアクセスの遮断やウイルス定義の更新など、技術的対策の進行具合を確認するという。
「通常モードの次がインシデントではなく、その間に『脅威』というレベルを置くことで、攻撃を受けていなくても動くようにしているのが重要。脅威の段階で、管理職と連絡を取る体制になっている」(川添氏)
こうした体制のもとで、2017年5月、ランサムウェア「WannaCry」の世界的な大規模感染が発生した際は、次のような初動対応を行ったという。
関連記事
- DeNA CERTに聞く、事業スピードを落とさないセキュリティの進め方
インターネットサービスでは常にスピードと安全が求められ、企業にとってその両立は大きな挑戦だ。業界大手のDeNAでビジネスとセキュリティのバランスを担っているのがCSIRTだ。 - 「うちのセキュリティ担当たちはすごいんです!」 対応チームを続ける秘訣とは?
組織を守るCSIRTを設立しても、その機能が維持・向上されなければ形骸化してしまう。オーストラリア連邦政府税務局でCSIRT責任者を務めたレナード・クラインマン氏は、「そのためにはセキュリティを担うチームやメンバーの活躍を認めることが大切だ」と話す。 - 急増するCSIRT、立ち上げ後に考えたい次なるステップへの視点
企業ではCSIRTを設立する動きが広まる。新たに立ち上げたCSIRTが活動を推進していく上で考えておきたいポイントはどのようなものだろうか。日本シーサート協議会での取り組みをもとにまとめてみたい。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。
Copyright © ITmedia, Inc. All Rights Reserved.