日頃からセキュリティ関連情報を収集し、インシデントの防止に向けて準備を整え、いざ発生した際には対処にあたる「Computer Security Incident Response Team」(CSIRT)の構築に取り組む企業が増えている。CSIRT同士が協調し、情報やノウハウを共有し、共通の課題を解決することを目的に設立された日本シーサート協議会(NCA)の加盟チーム数も右肩上がりに増加し、今や243チームが加盟するに至った。
NCA発足10周年を記念して行われたカンファレンス「NCA 10th Anniversary Conference」では、そんなCSIRTの抱える課題と、これからに向けた提言が紹介された。
「CSIRT」をセールストークにする事業者に踊らされない「賢さ」を
日本シーサート協議会 CSIRT研究家の山賀正人氏
「サイバーセキュリティ経営ガイドラインなどの後押しもあり、CSIRTを作る企業が増え、NCAの加入チームも増加している。だが、残念ながらCSIRTを作ること、NCAに加入すること自体が目的になってしまう本末転倒なことが起こっている」。
こう語ったNCAの山賀正人氏は、“CSIRT研究家”として長年にわたり普及・啓発に携わってきた。同氏は「CSIRTは本当に必要か? インシデント対応再考」と題するセッションで、現在の「CSIRTブーム」に対し、あえてこのように苦言を呈した。そして、ちまたにあふれるベンダーや専門家の言葉に惑わされず、実際に組織内で対策やインシデントレスポンスに携わる仲間たちのやり方をヒントに、自社にとって最適なやり方を考える「賢さ」を身につけてほしいと呼び掛けた。
昨今、「100%の防御はあり得ない」という考え方に立ってインシデント対応体制やプロセスを整備し、その一環としてCSIRTを構築する企業が増えている。山賀氏によれば、そのこと自体は、CSIRTという言葉すらあまり知られていなかった時代に比べると大きな進歩だという。だが、その中にはせっかくCSIRTを作り、NCAに加入したにもかかわらず、活動へ積極的には参加せず、ワーキンググループに来ても座っているだけ、という会員も見受けるようになった。
特に山賀氏が懸念するのは、CSIRTという言葉につけ込んで“ハコ”を売りつけようとする、怪しいコンサルティング会社やベンダーの存在だ。残念ながらセキュリティ業界では、「○○を導入しないとやられますよ」という脅し文句で製品を売りつけようとするケースが少なくない。今まさに、CSIRTがそうしたセールストークの材料になってしまっている状況だ。
山賀氏は、きちんとした事業者が存在する一方で、中にはJPCERT コーディネーションセンター(JPCERT/CC)の何たるかも知らず、「CSIRTを構築しませんか」と営業電話をかけてきた事業者があったという笑えないエピソードを紹介した(参考:JPCERT/CCとは?)。「CSIRTという言葉が一人歩きしてバズワードになり、そこにつけ込むコンサルティングやベンダーも残念ながら存在する」と指摘した。
特に、情報のデバイド(格差)や理解不足がある地方でその傾向が強いといい、大手システムインテグレーターの下請け、孫請け会社が、インシデントレスポンスの経験がないまま、「CSIRTを作るならこれを買ってください」と箱モノを売りつけることさえあるという。
