村田氏 なぜCSIRTを作るかというと、たとえばSIEMから上がってきたイベントをもとに、ネットワークを全断することもあります。その判断を誰がするのかというところです。SIEMやマネージドサービスから攻撃というイベントが上がってきたとき、ITインフラ上ではビジネスが動いているわけですから、その攻撃がビジネスにどう影響するかは機械では考えられません。人間でないと判断できないわけです。
そこでCSIRTを作って、イベントが上がってきたときにどう判断基準を設けるか、どのようなことを判断の要素にするかなども、きちんと決めるわけです。とはいえ、どんなに優れたツールを入れたとしても、最終的にどう対処するかの判断は人間が下す必要があると思います。
もちろん、それは企業規模や持っている情報資産によると思います。中小企業がCSIRTの組織を作っても意味がないでしょう。ただ、最終的に人間が判断するために必要な情報を、きちんと自動化されたシステムが出してくれるということが、ベストプラクティスだと思います。
ブルーコートシステムズ エンタープライズ・ソリューションズ・アーキテクト 村田敏一氏特に危機管理が重要な金融機関や、製造業・官公庁などを中心とした顧客企業・組織をサイバー攻 撃の脅威から守るための対策やソリューションを提案している
染谷氏 最終的には人ですよね。例えば年金機構のケースでも、NISC(内閣官房情報セキュリティセンター)からの報告が現場の課長レベルまでは届いていた。それなのに、その上の方までは情報が届いていなかったわけです。ただ、何かあったときのルールは一応、書面上あったといわれています。
つまり、どんなに「枠」を作ったとしても、CSIRT/SOCという体制を作っても、どんなにインシデント対応のプロセスを文書で作っても、それをちゃんと「人」が回せないと意味ないんですよね。また、ちゃんと人がそれに則って動かないと意味がないわけです。技術的なセキュリティ対策もやらないといけませんし、組織的にもいろいろな取り組みをしないといけませんが、最終的に回すの人だというところは、非常に大事なポイントです。