多様化、高度化する脅威に組織で立ち向かう──CSIRT構築の勘所：ITmedia エグゼクティブセミナーリポート

情報セキュリティへの脅威はますます深刻化しており、不正アクセスもその手口が巧妙化するとともに、特定の企業を狙い、より効率良く経済的な価値の高いデータを盗み取ろうとする傾向が強まってきている。日本の企業が組織で立ち向かわなければならないサイバーセキュリティ対策とは。

[山下竜大，ITmedia]

　9月9日、「経営課題としての情報セキュリティ対策 待ったなし、CSIRT構築の勘所とは？」をテーマに「第32回 ITmedia エグゼクティブセミナー」を開催。日本の企業が組織で立ち向かわなければならないサイバーセキュリティ対策について議論した。

企業における情報セキュリティとCSIRT

大成建設 社長室 情報企画部長の柄登志彦氏

　基調講演に登場した大成建設 社長室 情報企画部長の柄登志彦氏は、大成建設における情報セキュリティに対するスタンスとCSIRT（Computer Security Incident Response Team）の構築について講演。まず、情報セキュリティ施策を決定する上で、以下の4つのスタンスが重要だと話した。

（1）何の情報を最優先に「守る」のか

（2）外に対して守るのか、内に対して守るのか

（3）セキュリティレベル vs. コスト vs. 業務効率

（4）個人、部門、企業の立ち位置

　（1）については、企業内に存在する情報として企業情報、個人情報、顧客情報の3つを挙げ、このうちどれを最優先にするかで施策が大きく異なるとした。また（2）についても、外（外部からの攻撃）に対して守るのか、内（内部犯行）に対して守るのかによっても施策は全く異なる。

　（3）については、セキュリティレベル、コスト、業務効率は各々相関関係にあり、往々にしてセキュリティレベルを上げるとコストが上がり、業務効率が落ちる。（4）では、部門の中の個人、企業の中の部門、社会の中の企業として、どのような立ち位置で、どのような役割を果たすことを目指すかが重要だと述べた。以上4つのスタンスは、業種・業態、また個々の企業によって異なるものであり、最適なセキュリティ施策を決定する上で重要な判断基準となる。

　大成建設では、この4つのスタンスのうち先の3つについて「顧客情報の防御」「外部攻撃に対する防御」「必要十分なセキュリティレベルの確保」を優先とし、4つめの「企業内の部門の役割」としてCSIRTを構築した。CSIRTが必要になったのは脅威が多様化、高度化したこと、緊急時に迅速かつ適切な対応をしなければならないこと、政府・経団連・顧客からの要望があったことの3つの理由である。

　「これまでは脅威の侵入を防ぐことが目的だったが、組織的な犯行や標的型攻撃の増加など、脅威が変化している。こうなるとリスクを全て防御することは難しく、起きることを前提として被害を最小限に食い止める対策が重要だと考えた。また緊急時には、迅速かつ適切な対応で被害を最小限にくい止めることが必要であり、緊急対応を専門とする組織であるCSIRTが必要と判断した」（柄氏）

　CSIRTの設置は2012年6月よりスタート。まずはチームリーダーの人選を行い、組織名をTaisei-SIRT（T-SIRT）に決定、CSIRTを恒久的な仕組みとするための社内規則の改定手続きを経て2013年3月に日本シーサート協議会に加盟した。

　T-SIRTに対する経営層の要求は、本来緊急時に迅速かつ正確な対応で被害の最小化を図ることが目的のCSIRTに対して、平時のセキュリティ維持のためのさまざまな活動を加えることであった。

　T-SIRTの効果と課題を柄氏は、「社内のインシデント情報伝達を圧倒的に短縮し、インシデント発生時の迅速な指示と対応を実現した。また、日本シーサート協議会に加盟する他のCSIRTとの活発な情報交換に大変助けられている。一方、次のリーダーの育成、教育や訓練を通じさらに個人のリテラシーを向上させることが今後の課題」と話している。

事後対応だけでなく事前の準備を用意周到に

はJPCERTコーディネーションセンター経営企画室兼 エンタープライズサポートグループ 部門長 村上晃氏

　　特別講演にはJPCERTコーディネーションセンター（JPCERT/CC）経営企画室 兼 エンタープライズサポートグループ 部門長の村上晃氏が登壇。JPCERT/CCは、日本国内の主に情報及び制御システムセキュリティ担当者を対象に、インシデント対応をはじめとする国際連携が必要なオペレーションや情報連携に関する国の窓口となるCSIRTという位置づけである。経済産業省からの委託事業として、「サーバー攻撃等国際連携対応調整事業」を実施している。

　JPCERT/CCに報告されるインシデントは、攻撃の準備行為である脆弱性探索やスキャン、ウェブサイトの改ざん、サービス妨害攻撃、フィッシングサイト、マルウェア配布サイト、マルウェア添付メールによるシステムへの不正侵入など。まずは攻撃に対し、どのような問題に対処するか、何を守ることを優先させるのかといった対処の目的と優先順位を定める。次に認識した攻撃に関して、攻撃の性質や実際の被害が発生しているかなど、総合的に判断して適切な対応を取るための情報を提供する。

　「CSIRTとは、レスポンスチームであり、その本質はインシデント発生時に迅速かつ的確な対応を行う組織、もしくはチームである」（村上氏）。

　それではCSIRTとは、事後対応チームなのだろうか。村上氏は、「CSIRTは事後対応だけでなく、事前の準備を用意周到にしておくことも重要な役割。事前・事後における技術、マネジメント、運用、渉外など、さまざまな機能を有する即応可能なチームがCSIRTである」と語る。

　現在の攻撃の多くは「目的を持った攻撃」であり、さまざまな手段を用いて、繰り返し攻撃してくることを意識することが必要。各組織においてデータを保全し、ほかの組織ともデータをつき合わせるなどの情報共有により、「見えていないもの」に気づくことが重要になる。村上氏は、「知見の集約が対抗手段につながる」と話す。

　またCSIRTを活用したセキュリティ対策は、事業継続上の課題でもあるが、そのために対応組織を作るのではなく、機能と組織を融合することが重要。さらにインシデントは想定の範囲内だけでは収まらないこともあり、ほかの組織との連携も必要になる。村上氏は「計画を立てるだけでなく訓練も必要。経営目線のプロアクティブなセキュリティ対策が今後は求められる」と締めくくった。

インシデント対応力を上げるポイントとは

マクニカネットワークス セキュリティ第2事業部 プロダクト第2営業部 第1課 市川博一氏

　マクニカネットワークス セキュリティ第2事業部 プロダクト第2営業部 第1課 市川博一氏は、インシデント発生時に、どのような運用で対応力を向上させるかを話した。インシデント対応における体制とワークフロー、迅速・的確な意思決定をサポートするプロセスについて改善事例を交えて紹介した。

　インシデント対応には、事前（インシデントを起こさない）、事中（インシデントに気がつく）、事後（被害を最小限にくい止め再発を防止する）があるが初動が重要という。市川氏は、「いかに迅速に初動体制を整えるかが、事中、事後に至る重要なポイント。迅速・的確な意思決定を支援するOODA（監視・情勢判断・意思決定・実行）ループも重要になる」と話す。

　また従来型のセキュリティデバイスを突破する攻撃が増加しており、またシグネチャだけでは検知できないインシデントも増えており、攻撃される前提での防御態勢の確立が必要。自社データだけでは検知が難しい場合には、外部のレピュテーションデータを取り込むことで検知の精度を向上させることも有効になる。

　ある企業では、監視・情勢判断が多岐にわたり、的確なインシデント対応ができないという課題を抱えていた。そこでログ統合に「Splunk」を、パケットの見える化に「Blue Coat Security Analytics」を採用し、迅速かつ的確に調査できる体制としてCSIRTを確立。市川氏は、「こうした取り組みで、インシデント対応力を向上できる」と話している。

最適なインシデント管理の3ステップ

日本アイ・ビー・エム セキュリティサービス Emergency Response Service セキュリティ・サービス担当部長 徳田敏文氏

　日本アイ・ビー・エム セキュリティサービス Emergency Response Service セキュリティ・サービス担当部長の徳田敏文氏は、セキュリティインシデントが発生した場合に、被害を最小限にすることを目的とした組織であるCSIRTの役割などを3つのステップで紹介。最適なインシデント対応のための要点について解説した。

　「ステップ1：CSIRTの存在意義」は、インシデント発生時の初動対応により、問題の早期解決とビジネスへの影響を最小限にすることである。また「ステップ2：CSIRTの機能」としては、経営層や社内部門、顧客、監督官庁、マスコミ、JPCIRTや他社のCSIRTなどの社外組織と連携し、迅速にインシデントを検知して、影響の拡大を防ぐことである。

　「ステップ3：CSIRT対応プロセス」は、事前作業から調査、トリアージ、対応、終了判定、事後作業までの一連のプロセスになる。インシデントが発生した場合には、調査フェーズで収集・分析した情報をもとに、インシデントを特定し、対応方針を決定（トリアージ）、対応フェーズで、抑制・根絶・回復という3つのタスクを実行し、終了判定する。

　CSIRTのとるべき方針を徳田氏は、「思い込みや思惑にとらわれず、事実の確認と被害範囲を確定し、初動対応方針を早期に決定することが必要になる。また外部機関や外部組織との情報共有や連携も重要。さらに経営層に助言、提言を行うセキュリティ・アドバイザーとなるCSIRTリーダーの育成も重要な取り組みのひとつ考えている。われわれは自社の経験も生かしながら、研修や緊急対応サービスを提供している」と締めくくった。

CSIRTが事業継続への影響を最小限に食い止める

日本ヒューレット・パッカード エンタープライズサービス事業統括 セキュリティサービス本部 本部長 大森健史氏

　日本ヒューレット・パッカード エンタープライズサービス事業統括 セキュリティサービス本部 本部長の大森健史氏は、インシデント発生時の事業継続性を最小限にくい止めるCSIRTの構築と運用の肝を事例に基づいて紹介した。

　CSIRT構築および運用の肝は、大きく3つのポイントがある。1つめが「正しい判断を下すための"専門家の目"による情報の精査」であり、2つめが「有事に慌てない実行可能なプロセスフロー」の確立、3つめが「経営層の関与」である。大森氏は、「何が事実で、何が憶測なのかを見きわめ、実行可能なプロセスを構築することが重要になる」と話す。

　インシデント対応において重要なのは、誤検知や過検知の中から攻撃を見抜くこと。そのためには本当の攻撃の兆候を見いだす専門家の目が必要になる。また事前に情報収集や対策に時間をかけておき、適切な判断を下すことも必要。事業を守るためには一時的に業務を停止することも必要であり、このとき経営層の判断が業務継続に大きな影響を与えることになる。

　「名ばかりのCSIRTから脱却し、有事の際に役立つCSIRT構築を支援するサービスを提供している。また、SIEMに加えユーザーの異常行動を可視化する機能を追加したAecSight製品も提供している。これは内部犯罪ばかりでなく、外部から入りこまれてのなりすましを発見する事ができる。最後にHPのCISOの言葉を紹介する。インシデントに関して"われわれにも起こり得るのか？"ではなく"いつ起こるか？"であり、"われわれは対応できるか？"ではなく"どうすれば生き延びられるか？"である」（大森氏）