本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
現在多くの企業がサイバー攻撃などによるセキュリティインシデントへ対応する「CSIRT(Computer Security Incident Response Team)」を置くようになった。これは、2015年に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」にCSIRTの重要性が記載されたことが大きく影響しているだろう。
それまでのセキュリティ対策やインシデント対応は、ITを管理している部門だからという理由で、なんとなく情報システム部門が実施するのが当然となっていた。しかし、先述のガイドラインに「インシデント対応は経営の責任」という主旨の内容が記され、具体的な対応体制としてのCSIRTの必要性が提起された。これによりCSIRTが増加したわけだ。例えば、日本シーサート協議会の会員は、2007年の設立から10年ほどで約100チームとなったが、現在では468チーム(2022年11月1日時点)に上る。
今回からお伝えするのは、同じ「Security Incident Response Team(SIRT)」でも、その対象がコンピューター(Computer)ではなくプロダクト(Product)になる「PSIRT(Product Security Incident Response Team)」だ。CSIRTとPSIRTは、どちらもインシデント対応を行うための機能や役割を持つチームであり、本質的に大きな変わりはない。相違点はただ1つ、その守るべき対象だ。
組織の情報や情報システムの保護や迅速なインシデント対応を目的とするCSIRTに対し、PSIRTは外部に提供する製品やサービスの保護を目的にしている。今回は、このPSIRTが必要になった背景や経緯、設置についての課題などを述べていく。
ITが身近になり、サイバー攻撃も身近になった
サイバー攻撃の脅威や被害が、現在ではテレビなどのメディアで当然のように報道されるようになった。このきっかけは、2000年代前半における「個人情報保護法」の制定から施行、2011年の標的型攻撃事件などであり、このような報道が日常となってから、既に20年ほどの年月が経過した。
かつては、実在するかも定かではないサイバー攻撃者が、地球の裏側から自分のPCやスマートフォンに攻撃を仕掛けて来るなど思いも寄らなかっただろう。しかし、今ではロシアのウクライナ侵攻と前後して行われたサイバー攻撃戦や敵対する国家がその裏で関与していることなどが当然のように報道されるようになった。一方で、近所にある普通の病院がランサムウェア攻撃の被害に遭い、医療行為ができなくなったという身近なサイバー攻撃の被害も報道されている。
現在のサイバー攻撃は、このような大小の事象が散りばめられた非常に混沌とした状況にあり、そのことを私たちは当たり前の事実として、いつの間にか受け入れてしまっている。そして、このような状況を生んだ要因はただ1つしかない。それは、ITの普及だ。
ITは国家の軍事機構から身近な町の病院、そして、皆さんの手元にまであっという間に普及した。ITは非常に便利な世の中をもたらしたが、それは攻撃者にとっても同様だった。PCやスマートフォンが世界中の数十億人に普及し、広帯域ネットワークで結ばれた結果、思いも寄らなかったはずのサイバー攻撃は、今や身近なものになってしまった。