座談会@ZDNet

CSIRT/SOCだけでは意味がない--セキュリティベンダー座談会(3) - (page 3)

怒賀新也 (編集部) 山田竜司 (編集部) 吉澤亨史

2015-11-16 07:00

乙部氏 私も最近、CSIRT/SOCというキーワードが普通に聞かれるようになってきたと思います。SOCを作るとなるとSIEMというキーワードが出てきて、SIEMを導入しようという顧客もいます。また業界の流れでみても、各業界ごとにひとつのガイドラインの中でSOCやCSIRTを作りなさいということが始まっています。特に金融業界は、金融庁の新しい監督指針や金融検査マニュアルなどで、責任者を決めることやインシデントレスポンスできる体制、チームを作るといったことが規定されています。

 しかしそうなると、SOCという名のチームを作り、担当者の名前を登録、それをお上に提出すればできるという形になってしまっている。SOCを作った目的を忘れるようなことになってしまうのではないかでしょうか。何かがあったときの対応や、何かの予兆を見つけて止めるということがCSIRT/SOCを作る目的で、チームを作ることが目的ではない。そこの議論が飛ばされているような気がします。


パロアルトネットワークス エバンジェリスト兼テクニカルディレクター 乙部 幸一朗氏
同社日本法人設立から参画。ネットワークエンジニアとしての経験を活かし次世代ファイアウォールの国内第一人者として活躍

染谷氏 悩ましいのが、結局そういう体制の話にばかりなって、それがRFP(提案依頼書)に入って来てしまうことです。何を目的としているかという形のRFPにならずに、「ハコ(CSIRT/SOC)を持っていること」、あるいは「ハコを作る支援ができること」というようなRFPになってしまう。目的の部分が逸脱するわけです。CSIRT/SOCもハコの話が先行してしまうんですね。

 また、日本国内でよく出てくる議論に、海外はすごく進んでいて日本は遅れているという話がありますが、実は全然そんなことはないんですね。Targetのような大企業は確かに進んでいますが、それは一部の組織であって、世の中の大半の企業は米国に限らず、なかなか対策ができていないのが実情です。

 さらに、日本だと「鍵は入り口対策です」とか「出口対策です」など、名前だけが先行してしまう傾向があります。「その対策で何を実現するのか」というところがなかなか議論されないのが、非常に悩ましい。今回の年金機構のケースでも、「利用されたのが遠隔操作マルウェア“Emdivi(エンディビ)”だったのか、そうではないのか」ということが議論されています。それは全く議論にするべきでなく、重要なポイントは「どんな被害を受けたか」であるわけです。そういった本質論でセキュリティが議論されないことを、非常に危惧しています。

 大規模な情報漏えい事件や標的型攻撃がこれだけ発生しているのですから、企業や官公庁、自治体などは「同じことが自分たちの組織で発生したら」ということを考えていただきたいです。どのようなリスクが想定されて、どの部署がどんなアクションを取らなければいけないか、何を基準に判断していくのか。そういうことを「自分ごと」として、きっちり整備していくことが重要です。

外村氏 年金機構の話でいうと、確かにわれわれも「この製品やサービスを守れたか」と聞かれるのですが、攻撃は4時間以内に終わっていますし、同じものは絶対に来ない。「過去からあまり学べない」わけです。そうすると、本質的なところを押さえるしかなくて、一番押さえやすいところはデータということになります。

 では、どのデータを守るのか。そこで必ず問題になるのが、データの棚卸しが意外にできていないということです。顧客データは大体分かりますが、製造業では再利用可能な知的財産(IPアセット)があります。でも、IPアセットがどこにあるか分からない。R&Dでは(製品ごとなど)それぞれのビジョンがあったりします。本当にさまざまなところに散らばっていて、データを押さえようにも分からないケースが多い。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]