CSIRTと情シスの連携
ZDNet:今、CSIRTと情報システム部について、皆さんの会社ではどのように連携しているのでしょうか。
茂岩氏:DeNAにおいては、車輪の両輪の如くですね。なくてはならないというか、連携しないとなにもできない。たとえばアンチウイルスのこの機能を使いたいとなると、リソースを管理しているところと私たち、セキュリティのアドバイスや、施策を考える私たちはリソースを持っていない、管理権限がないという状態なのです。
サーバであったらそのサービスを管理している部門であったり、PCだったら情報システムの別の部門なのですね。そこでこういう脅威があるから、検知をしようと考えるのは私たちなのですが、そこで業務を遂行しているのはリソースを管理している運用部門なので、そこにお願いしないとなにもできないのですよ。そのため連携というか本当に密にしているという感じですね。
北村氏:大成建設は一体といいますか、CSIRT自体が仮想の組織なので、情報システム部門とイコール、あるいは情報シスの中にCSIRTが含まれるという形、縦串横串みたいな関係になってきます。だから一体運用で、先ほどの監視のような話も情報部門の運用チームがやっていて、そこで起こった異常がCSIRTのメンバーに伝えられるという形です。
デロイト トーマツ リスクサービス(DTRS) サイバーリスクサービス シニアマネージャー 岩井博樹氏
茂岩氏:関係とか連携の形を一回作ってしまった後はどうするかも重要ですね。IT環境は引き続きすごく変わっていきます。脅威も新しいものがどんどん出てきますし、継続的にやらなくてはいけない。ここで連携終わり、というようには多分ならない。バンダイナムコはいかがですか。
堤氏:BNESIRTも外部の公開ウェブサービスがメインのスコープで、管理権限はありません。ただ、そのアクセス元としてクライアントがあるため連携は重要と考えています。特にゲームデータの管理システムには、クライアントから入れるものもあるため、乗っ取られると好きなようにデータを改変されてしまう可能性があります。
連携については、2年目CSIRTということでまだまだですが、クライアントで変な動きをしているとか、ウイルスメールが1日で数百通届いたとか情報をいただくと、何かあるかもとCSIRT側でも情報を集めたり、見れる範囲で確認したりと、情報の共有から別視点でのチェックと連携を少しづつ強化しています。連携のゴールはなさそうです。
岩井氏:私も連携は密にしていますね。グローバルと国内では違うのですが、今デロイトグループ、SOCも全部自社で運用しつつ、インシデントもハンドリングする感じです。私たちCSIRTのアドバイザーチームは、社内のシステム、グループ全体のネットワークの詳細は知らされていません。余計な知識や権限を与えないようになっています。
あくまでもCSIRTはテクニカルなところへの助言だとか、後はここぞというときにだけ動くような仕組みになっています。でも私たちはシステムに一切触れられないので、調べてもらう。私たちは現場へ行けないし、私たちが得た情報は情シス部門に提供しないとインシデントは解決できない。情シス部門でも詳細な分析情報を得るためにはこちら側に聞かないと状況が把握できないので、持ちつ持たれつですね。
