ユーザー企業の技術者不足が課題--RSAがインシデント対応の支援サービス

　「企業のインシデント対応をベンダーが肩代わりするのではなく、企業のインシデント対応チームをベンダーが育成する」――。EMCジャパンのRSA事業本部は12月21日、企業のセキュリティインシデント対応を支援するサービス「インシデントレスポンスサービス」（IRサービス）の提供を開始した。

　インシデントレスポンス（IR）とは、サイバー攻撃などのインシデント（問題）が発生した際に、原因究明や影響分析、修復、報告など各種の対処によって、企業組織として対応することを指す。RSAは今回、ユーザー企業が自らIRチームを運用できるように支援するサービスをメニュー化した。

　インシデントの発生を検知したり、発生したインシデントの状況を分析する手段としては、RSAが販売しているネットワークフォレンジック装置「RSA NetWitness」の利用を想定する。RSA NetWitnessは、ネットワーク上を流れるパケットを一定期間収集し、これを分析する製品だ。

　IRサービスは、IRチームの稼働前や稼働後などのフェーズの違いに応じて、5つのサービスメニューで構成する。フェーズは大きく、（a）現状把握と改善提案、（b）ネットワークフォレンジック装置の運用支援、（c）ホットラインによる、インシデント発生時の緊急対応――の3つに分かれる。

現状把握／改善提案やフォレンジック装置の運用支援、インシデント発生時のホットラインなど、フェーズの違いに応じて5つのサービスで構成する

ユーザー企業の人材を育成して人材不足と情報流出の懸念を解決

EMCジャパンRSA事業本部マーケティング部部長の水村明博氏

　IRサービスの主眼にIRチームの育成を据えた理由として、EMCジャパンRSA事業本部マーケティング部部長の水村明博氏は、ユーザー企業が抱える2つの課題を指摘する。

　課題の1つは人材不足だ。ユーザー企業側に技術者が足りておらず、IRの運用を外部ベンダーに頼りがちになっている。もう1つの課題は、IRを依頼する外部ベンダーにログデータなどを渡すことによる情報流出の懸念だ。

　この2つの課題を解決する方法は1つしかない、と水村氏は指摘する。ベンダーは、ログなどの情報提供を受けることなく、オンサイトでユーザー企業のIRチームと一緒にデータを分析する。さらに、フォレンジック装置などの運用方法をレクチャーすることによって技術者を育成する。

ユーザー企業のIRチームが抱える課題は2つある。1つは人材不足。もう1つは外部ベンダーへの情報提供による情報流出の懸念だ