「企業のインシデント対応をベンダーが肩代わりするのではなく、企業のインシデント対応チームをベンダーが育成する」――。EMCジャパンのRSA事業本部は12月21日、企業のセキュリティインシデント対応を支援するサービス「インシデントレスポンスサービス」(IRサービス)の提供を開始した。
インシデントレスポンス(IR)とは、サイバー攻撃などのインシデント(問題)が発生した際に、原因究明や影響分析、修復、報告など各種の対処によって、企業組織として対応することを指す。RSAは今回、ユーザー企業が自らIRチームを運用できるように支援するサービスをメニュー化した。
インシデントの発生を検知したり、発生したインシデントの状況を分析する手段としては、RSAが販売しているネットワークフォレンジック装置「RSA NetWitness」の利用を想定する。RSA NetWitnessは、ネットワーク上を流れるパケットを一定期間収集し、これを分析する製品だ。
IRサービスは、IRチームの稼働前や稼働後などのフェーズの違いに応じて、5つのサービスメニューで構成する。フェーズは大きく、(a)現状把握と改善提案、(b)ネットワークフォレンジック装置の運用支援、(c)ホットラインによる、インシデント発生時の緊急対応――の3つに分かれる。
現状把握/改善提案やフォレンジック装置の運用支援、インシデント発生時のホットラインなど、フェーズの違いに応じて5つのサービスで構成する
ユーザー企業の人材を育成して人材不足と情報流出の懸念を解決
EMCジャパンRSA事業本部マーケティング部部長の水村明博氏
IRサービスの主眼にIRチームの育成を据えた理由として、EMCジャパンRSA事業本部マーケティング部部長の水村明博氏は、ユーザー企業が抱える2つの課題を指摘する。
課題の1つは人材不足だ。ユーザー企業側に技術者が足りておらず、IRの運用を外部ベンダーに頼りがちになっている。もう1つの課題は、IRを依頼する外部ベンダーにログデータなどを渡すことによる情報流出の懸念だ。
この2つの課題を解決する方法は1つしかない、と水村氏は指摘する。ベンダーは、ログなどの情報提供を受けることなく、オンサイトでユーザー企業のIRチームと一緒にデータを分析する。さらに、フォレンジック装置などの運用方法をレクチャーすることによって技術者を育成する。
ユーザー企業のIRチームが抱える課題は2つある。1つは人材不足。もう1つは外部ベンダーへの情報提供による情報流出の懸念だ
