乙部氏 私も最近、CSIRT/SOCというキーワードが普通に聞かれるようになってきたと思います。SOCを作るとなるとSIEMというキーワードが出てきて、SIEMを導入しようという顧客もいます。また業界の流れでみても、各業界ごとにひとつのガイドラインの中でSOCやCSIRTを作りなさいということが始まっています。特に金融業界は、金融庁の新しい監督指針や金融検査マニュアルなどで、責任者を決めることやインシデントレスポンスできる体制、チームを作るといったことが規定されています。
しかしそうなると、SOCという名のチームを作り、担当者の名前を登録、それをお上に提出すればできるという形になってしまっている。SOCを作った目的を忘れるようなことになってしまうのではないかでしょうか。何かがあったときの対応や、何かの予兆を見つけて止めるということがCSIRT/SOCを作る目的で、チームを作ることが目的ではない。そこの議論が飛ばされているような気がします。
パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部 幸一朗氏同社日本法人設立から参画。ネットワークエンジニアとしての経験を活かし次世代ファイアウォールの国内第一人者として活躍
染谷氏 悩ましいのが、結局そういう体制の話にばかりなって、それがRFP(提案依頼書)に入って来てしまうことです。何を目的としているかという形のRFPにならずに、「ハコ(CSIRT/SOC)を持っていること」、あるいは「ハコを作る支援ができること」というようなRFPになってしまう。目的の部分が逸脱するわけです。CSIRT/SOCもハコの話が先行してしまうんですね。
また、日本国内でよく出てくる議論に、海外はすごく進んでいて日本は遅れているという話がありますが、実は全然そんなことはないんですね。Targetのような大企業は確かに進んでいますが、それは一部の組織であって、世の中の大半の企業は米国に限らず、なかなか対策ができていないのが実情です。
さらに、日本だと「鍵は入り口対策です」とか「出口対策です」など、名前だけが先行してしまう傾向があります。「その対策で何を実現するのか」というところがなかなか議論されないのが、非常に悩ましい。今回の年金機構のケースでも、「利用されたのが遠隔操作マルウェア“Emdivi(エンディビ)”だったのか、そうではないのか」ということが議論されています。それは全く議論にするべきでなく、重要なポイントは「どんな被害を受けたか」であるわけです。そういった本質論でセキュリティが議論されないことを、非常に危惧しています。
大規模な情報漏えい事件や標的型攻撃がこれだけ発生しているのですから、企業や官公庁、自治体などは「同じことが自分たちの組織で発生したら」ということを考えていただきたいです。どのようなリスクが想定されて、どの部署がどんなアクションを取らなければいけないか、何を基準に判断していくのか。そういうことを「自分ごと」として、きっちり整備していくことが重要です。
外村氏 年金機構の話でいうと、確かにわれわれも「この製品やサービスを守れたか」と聞かれるのですが、攻撃は4時間以内に終わっていますし、同じものは絶対に来ない。「過去からあまり学べない」わけです。そうすると、本質的なところを押さえるしかなくて、一番押さえやすいところはデータということになります。
では、どのデータを守るのか。そこで必ず問題になるのが、データの棚卸しが意外にできていないということです。顧客データは大体分かりますが、製造業では再利用可能な知的財産(IPアセット)があります。でも、IPアセットがどこにあるか分からない。R&Dでは(製品ごとなど)それぞれのビジョンがあったりします。本当にさまざまなところに散らばっていて、データを押さえようにも分からないケースが多い。