サイバー攻撃による情報漏えいなど、セキュリティインシデントが発生した際に対応するCSIRT(Computer Security Incident Response Team)の有効性が認識され始めている。
CSIRTに焦点を当て、実際に自社内にCSIRTを立ちあげたユーザー企業に集まってもらい、座談会を開催した。今回は第3回(第1回)(第2回)。
参加者は以下の通り。
- デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス シニアマネージャー 岩井博樹
- 株式会社バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課アシスタントマネージャー堤光伸
- 株式会社ディー・エヌ・エー システム本部セキュリティ部部長DeNA CERT 茂岩祐樹
- 大成建設株式会社 社長室 情報企画部部長 Taisei-SIRTリーダー北村達也
- 一般社団法人 JPCERTコーディネーションセンター 経営企画室 エンタープライズサポートグループ部門長兼 早期警戒グループ担当部門長 村上晃
CSIRTは組織のセキュリティ対策に関与すべきか
ZDNet:CSIRTもいろいろな役割があると思います。サイバー攻撃によりマルウェアがシステムに混入してしまうことを前提にするべきなのでしょうか。予測防御のような形で、もう絶対に入れないぞというところを前提にセキュリティの体制を考えた方がいいのでしょうか。セキュリティの体制に関する疑問なのですが。どういうCSIRTの形が理想でしょうか。
JPCERTコーディネーションセンター(JPCERT/CC) 経営企画室 エンタープライズサポートグループ部門長 兼 早期警戒グループ担当部門長 村上晃氏
岩井氏:それは結構難しい問題です。予測して攻撃を防ぐということは、リスクを緩和するという意味合いですよね。CSIRTにはそういう面も、先ほど茂岩さんがおっしゃったCSIRTのフレームワークの中に、脆弱性の解析が含まれていることもありますが、最近の話題になっているのは「被害をいかに最小化するか」ということです。
これはCSIRTを構築する上で、どこの企業も一度は考えると思います。どちらがいいかといわれると難しいですね。
村上氏:実際に過去私たちがインシデント対応で関与した、いわゆる高度なサイバー攻撃は、侵入されてから気付くまでに半年から一年はかかっています。
それも調査の依頼を受けて検証している段階で出て来ましたので、多分それは普通に業務をしていたのでは見つからなかったものでしょう。恐らくこれまで一所懸命防御していてもやっぱり見つからないものがあるということです。
マルウェア対策ソフトだけで何とかするということは、ある意味ではもう限界なのだろうという前提で動けることが理想的ですが、なかなかそれは認めたくないものです。
なぜ分からなかったのか、これまでセキュリティ対策に高額な費用をかけてきたのにという批判を招くことになり、理解されにくいのだと思います。
最近は攻撃する側が守る側よりも技術的な面で随分先を行っている攻撃をしてくるので、セキュリティ製品を入れたから大丈夫とは言い切れない状態にあるのかもしれません。
その上でインシデント対応を考えるのであれば、マルウェアが中に侵入してくるかも知れないという前提でプロセスを考えておく必要があります。
岩井氏:さまざまなビジネスがIT化する中で、事業スピードは加速化しています。その中でひとつ考えておかないといけないのが、事業形態によっては、どこかにデータを委託したり関連会社や協力会社の方を雇ったりする必要が出てくることです。そうすると、自社で想定していなかった外部との接続点が急速に多くなってきます。
割と多いのが協力会社や、システム開発会社の従業員を介して侵害されるケースです。どこから侵害されたかというと必ずしも社内からではない。最近ですとクラウドです。
インフラを丸々クラウド化しようとしている企業も多くて、協力会社にIaaS上にあるサーバのメンテナンスをお願いしていたら、クラウドから社内にマルウェアが混入するようなケースもあります。テクノロジの進歩と、仕事の仕方の変化によって、少し想像がつかないところからの脅威の侵入ということが起きやすくなってきたという社会の背景の変化があります。
大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏
ZDNet:攻撃者の方が強いというところと、どこから入られるかわからないという状況なので、CSIRTとしては入るのが前提で、入られたところをいかに速くキャッチアップするかという組織を作っていると。
北村氏:建設業では数社が集まってひとつの建物を作るという共同企業体、ジョイントベンチャーの形態で仕事をすることが多くあります。そこは、大成建設であって大成建設ではない。管理は別になってしまうし、先ほどいわれたサプライチェーンではありませんが、情報を外に出さないと何も作れませんから、そういうところに対して対策が必要です。