PwCコンサルティングは8月26日、CSIRT(Computer Security Incident Response Team)の運用に関する新たな施策と日本企業の取組状況について、オンライン説明会を開催した。
デジタルトラスト パートナーの林和洋氏は、近年のIT環境の変化と攻撃の進化について「クラウド、スマートデバイス、IoTなどの普及により、IT資産の種別、設置場所が多様化」「COVID-19の影響を受け、テレワークの導入が急速に進行」「テクノロジー、サービスの高度化、グローバル化によりITの自社完結が困難(アウトソース化)」といった変化が起こったことで「境界防御の『境界』が非常に曖昧になってきており、アタックサーフェスが増加している」と指摘。
さらに攻撃者側では「サイバー犯罪のエコシステムが確立している」ことで、さほど技術力の高くない犯罪集団でも、最新の高度な手法を駆使した攻撃ツールを簡単に手に入れられる状況が生じるなどの進化が起きているとした。
近年のIT環境の変化と攻撃の進化。
※クリックすると拡大画像が見られます
こうした状況に対応して、「CSIRTと呼ばれる組織が多くの企業で設置されるようになってきている」と同氏は言う。その意味として同氏は「有事の対応を行うバーチャルな組織として組成されている」と説明し、完全に社内のみの人材で構成される形のほか、社外のベンダー/サービス事業者などの専門家と社内の担当者を組み合わせて構成される形などがあるとした。
重要機密情報を扱う企業などでは社内の人材のみで構成する例もあるが、一般的には外部の人材を活用する「一部アウトソース型」か「アウトソース中心型」になる。この差は社内外の人材の比率と見てよいが、有事の対応のみを想定した場合には活動頻度が低いことから「アウトソース中心型」となるのが一般的だ。この点に対して同氏は、「有事の対応業務を円滑に行うためには平時の業務をきちっと整備しておかなくてはなかなか上手く回らないということを多くの企業が学んできた」と指摘し、「有事の対応業務を行う組織から、平時の対応業務まで行うセキュリティの統括組織へと進化してきた」とまとめた。
CSIRTの役割と業務。
※クリックすると拡大画像が見られます
企業におけるCSIRT体制の実情。大きく、CSIRTを構成する人材の内外比率で分類されている。
※クリックすると拡大画像が見られます
続いて、林氏が説明したCSIRTの現状を踏まえ、CSIRT運用に関する新たな施策と日本企業取り組み状況について、デジタルトラスト ディレクターの辻大輔氏が「サイバーデセプション」「サイバーセキュリティ資産管理」「サイバーセキュリティプレイブック」「リスクスコア算出フレームワーク」の4つのテーマで説明した。
まず、サイバーデセプション(Cyber Deception:欺くこと)とは、従来の「パッシブディフェンス(受け身の防御)」に対する「アクティブディフェンス(能動的な防御)」と位置付けられる手法で、「攻撃を検知するために攻撃者に罠を仕掛ける」と説明される。
昔から攻撃手法の情報収集手法として活用されてきた“ハニーポット”とよく似たコンセプトだが、内部ネットワークに設置し、攻撃トラフィックを無害なトラフィックから迅速に識別するために活用したり、あるいは手厚くモニタリングしている囮のサーバーを攻撃させたりすることで攻撃を迅速に検知し、守るべきリソースに攻撃が到達する前に対応する時間を稼ぐなど、より積極的な防御に活用していくというものだ。
サイバーデセプションにおける、主な“罠の仕掛け方”の手法。正当なユーザーによる通進では実行されないような操作に誘導することで攻撃を見分けやすくなるという効果もある。
次に、サイバーセキュリティ資産管理は、「構成管理を立て直し、サイバー資産管理にステップアップする」という考え方に基づく提案となる。一般に行われているIT資産管理は税務/会計上の必要から実施されているもので、サイバーセキュリティの視点で行われているものではないため、例えば、情報が事業部門で管理され、CSIRTが直接アクセスできないなどの問題が生じる例もあるという。
これでは「CSIRTが守るべき資産を把握できていない」という状況に陥りかねないため、平時からサイバーセキュリティ資産管理をCSIRTが手がけておくことが有用だと言える。この考え方は、最初に紹介された「CSIRTが有事だけでなく、平時から対応業務を行う」ことにもつながってくる部分だ。
サイバーセキュリティ資産管理の設計ポイント。
※クリックすると拡大画像が見られます
続いて、サイバープレイブックは「インシデント発生から終結までに『いつ、誰が、何を、どのように対応すべきか』を記載し、システム停止などの重要な条件について関係各所と事前合意した手順書」と定義される。辻氏が強調した重要なポイントは「事前合意が成されている」という点だ。これは、インシデント対応の際に改めて合意形成が必要なようでは迅速な対応は望めない、ということだ。
また、あらかじめ手順を定めておくことで迅速な対応が可能になるわけだが、その手順の“粒度”が確実に遂行できるレベルになっている必要もある。同氏が挙げた例では、「不正な通信を遮断するために“サーバーを落とす”として、具体的には“サーバーにログインしてシャットダウンを実行する”“サーバーのネットワークインターフェースを停止させる”“サーバーが接続されているネットワークスイッチのポートを閉じる”など、同じ効果が期待できる複数のやり方が考えられる。このどれが最も速く実行できるのかなどを事前に明確化しておく必要がある」と指摘された。
最後に、リスクスコア算出フレームワークは、CSIRTの投資に関して現場と経営層との間で共通認識を形成するための手法だと考えて良さそうだ。CSIRTが必要だと考える投資が実施でき、不要な投資が行われるのを回避するためにリスクを数値化する手法を活用するというものだ。
リスクスコア算出フレームワークの背景となる、CSIRTの投資に関連する課題の例。
※クリックすると拡大画像が見られます
辻氏が現在のCSIRTが取り組むべき4つのテーマについて紹介したのに続き、デジタルトラスト ディレクターの村上純一氏がスレットインテリジェンスに関して説明した。同氏はまず、スレットインテリジェンス(Thread Intelligence:TI)について、「サイバー脅威情報を分析して得られた意志決定のための知見。単なる情報ではなく、具体的な問いに対して行動可能な知見を提供する」と定義した。
同氏は「何のために分析するのか、問いを明確に立てる」ことの重要性を強調。提供されているTIサービスは大きく「ストラテジック型」「OSINT型」「テクニカル型」の3種類に分類でき、分析の着眼点などが異なるため、「知りたい問いに対して有効な答えを出すサービスを選択することが重要」だという。
実際に昨今、スレットインテリジェンスサービスを提供するベンダーは一気に充実し始めているが、個々のサービスの比較には関心を持っても、そもそも自分たちが知りたいことは何なのかという点を突き詰めて考えることはあまりないのかもしれない。その点、「まず問いを明確に立てる」というアドバイスはTIサービスの活用を考える多くの企業に取って有益な指摘だと思われる。
CSIRTを取り巻く最新情報などがまとめて整理されたことで、CSIRTを運用する企業に取っても有益な情報となったのではないだろうか。
