Interop

効果的な「CSIRT」のつくり方 - (page 2)

吉澤亨史

2015-06-25 07:00

CSIRTにより、有事の際に素早い判断・意思決定、対策が可能に


大成建設社長室情報企画部の北村達也氏

 続いて、大成建設社長室情報企画部の北村達也氏によるセッション「大成建設T-SIRT構築事例~企業のリスク管理としての情報セキュリティ~」が行われた。大成建設では、情報企画部が社長室の直下にあり、ITと情報セキュリティの双方に対応している。

 北村氏は「リスク戦略の基本パターン」を示し、リスクに対して特定と評価を行い、回避、低減、移転、受容といった対応を取るという。

 例えば、発生頻度、影響度がともに高いリスクに対し、予防や防止といった被害抑止力により発生頻度を下げ、ミチゲーションによる被害軽減力で影響度を下げることができる。この2つの力のベクトルがリスクコントロールであり、リスクを許容可能なレベルにまで下げることが重要であるとした。


リスク戦略の基本パターン

 また、総務省における情報セキュリティ政策の推進に関する提言を引用し、現在のセキュリティには完璧主義でなく事故前提の体制が必要であるとした。

 また北村氏は、「ダメージコントロール」の視点を紹介した。これは、事故や災害、戦闘などで発生する不可避な損害に対して、被害を最小限に食い止めるために行う応急措置のことで、「マイナス」を局限することに成功した場合、それを「プラス」として評価する考え方だ。

 これを情報セキュリティに当てはめると、攻撃されないように防御する対策ではなく、攻撃を受けても情報を窃取されない、あるいは攻撃をできるだけ早く発見し、重要情報の漏えいなどの被害をできるだけ小さく抑えるための対処、対応ということになる。

 例えば、100万件の情報が持ち出される前に攻撃を発見し抑える、あるいは1万件の段階で抑えることがダメージコントロールとなる。これを成功させるには、攻撃を一刻も早く発見し、会社として判断・意思決定を行い、緊急時対応体制を立ち上げることが必要となる。それが組織内CSIRTであるとした。

 電子情報のインシデントは、ごく短時間に大量の情報が影響を受け、被害が急速に拡大する。そのためには、初動態勢の立ち上げが重要だが、それぞれの部門の基準で判断することは禁物。現在起こっていることを正確に経営者に伝えて、会社のリスクとして判断する必要がある。

 CSIRTには、企業における2つの情報セキュリティ施策の1つである「インシデント対応能力」が求められる。それは迅速な対応体制であったり、目標時間内に解決することだ。もうひとつの施策は「情報セキュリティ維持のための管理プロセスとツール手動の対策」である。


企業における2つの情報セキュリティ施策

 これは日々の業務で要求されるものとなる。そして北村氏は、CSIRT構築に役立つ文書類として、日本シーサート協議会の「CSIRTスタータキット」、JPCERT/CCの「CSIRTマテリアル」、および翻訳版の「CSIRTのためのハンドブック」を挙げた。特にCSIRT記述書の「ミッションステートメント」が重要であるとした。

 大成建設のCSIRT「T-SIRT」は。6人および育成枠の2人の合計8人で運用される仮想的な組織となっている。プロフィットセンターに設置する位置づけとなっており、コストセンターとしてはIT部門に属する。また、「最強のセキュリティインフラはルールと体制」であるとし、社内規程にCSIRT設置を明文化することと、「仮想」の組織を社内に認知させ、位置づけを明確化することが重要であるとした。

 規定を4つに階層化し、第1階層の「基本規程」に重大インシデントの定義や発生時の通報・対応体制を明記するわけだ。そうすると、実は有事よりも平時の方がやることが多いという。

 北村氏は有事と平時の全社的なリスクマネジメント推進体制などを説明し、平時から有事に切り替わるトリガーがサイバー攻撃に関しては曖昧であることを指摘。最近のサイバー攻撃は巧妙なため、発覚したときにはすでに情報を盗まれていることが多い。

 そこで必要なるのは「攻撃の可視化」であり、SOCとCSIRTの連携であるという。そのポイントはエスカレーションであるとした。インシデントが発見されたときに各部署がエスカレーションし、CSIRTに報告を行う。また、運用上アウトソースの活用も考慮し、その際には役割と連携プロセスを明確にすることが重要とした。


全社的リスクマネジメント推進体制

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]