サイバー攻撃による情報漏えいなど、セキュリティインシデントが発生した際に対応するCSIRT(Computer Security Incident Response Team)の有効性が認識され始めている。
CSIRTに焦点を当て、実際に自社内にCSIRTを立ちあげたユーザー企業に集まってもらい、座談会を開催した。今回は第2回(第1回)。
参加者は以下の通り。
- デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス シニアマネージャー 岩井博樹
- 株式会社バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課アシスタントマネージャー堤光伸
- 株式会社ディー・エヌ・エー システム本部セキュリティ部部長DeNA CERT 茂岩祐樹
- 大成建設株式会社 社長室 情報企画部部長 Taisei-SIRTリーダー北村達也
- 一般社団法人 JPCERTコーディネーションセンター 経営企画室 エンタープライズサポートグループ部門長兼 早期警戒グループ担当部門長 村上晃
CSIRTの必要性とは
ZDNet:続いて、CSIRTの必要性について、考えを教えてください。
岩井氏(デロイト):日本でサイバーセキュリティが注目されはじめたのは2000年以降、ワームという言葉が出てきた頃だと思います。その頃から、多くの企業さまで初動対応フローのようなものをきっちり作りだしたのではないでしょうか。ただ、当時は「いかに速くケーブルを抜くか」という、その部分をきっちり作ることが目的だったと思います。
そして最近注目されているのは、社内のPCを遠隔操作されてしまったり、DDoS攻撃によってシステムを止められるといった事業継続にインパクトがあるような被害、それから非常に高度化された攻撃によって情報を持ち出されてしまう標的型攻撃などです。以前と、脅威の質が変わってきているわけです。
バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課 アシスタントマネージャー 堤光伸氏
そうすると、ITリスクに対してのアドバイザー的な、ブレインになるような組織が必要になってくる。それが、昨今のCSIRTブームの背景にあると思います。そのためDT-CIRTのひとつの特徴として、ハンドリング、事務局機能と、アドバイザー機能をあえて分けている理由です。単純なインシデントは事務局側が調べてくれるのですが、マルウェアや悪性コード、たとえば昨今話題のランサムウェアなどといった解析が必要なものや、迅速な対応が必要なものだとアドバイザーチームが動くというような態勢にしています。
さらに、インサイダー的な要素が加わってきたときは、内部関係者にも気を使います。内部不正の場合は、極論をいうと権限をもった情報システム部門が犯人の可能性も出てくるわけですね。そうすると、一歩引いたところのアドバイザーチームや、それほど権限をもっていない社内のセキュリティ専門チームが動いた方が、結構きれいに収まることが多いということがあります。これは多分、どこの企業も同じような課題を持っていると思います。
そういった意味で、CSIRTがなぜ必要かという話に戻しますと、CSIRT自体は昔からありましたが、社会的背景も変わってきたことをうけて、インシデントの質も変わってきた。CSIRTがITリスクのアドバイザーという意味も考慮して構築する必要がでてきたのではないかと思います。
それと、外からの窓口という意味があります。多くのインシデントのほとんどが外部、第三者からの通報であり、その窓口がはたして広報部門でいいのかということで、そのための窓口を作るという意味合いでもCSIRTは必要だと考えています。
