セキュリティ対策におけるCSIRTと人材の重要性とは：構築、運営の「ここでしか話せない本音と勘所」

企業や官公庁におけるサイバーセキュリティ対策の中心的な役割を期待される「CSIRT」。現在、多くの企業がCSIRTの構築、運営に乗り出す中、なかなか思うように取り組みが進まないという声も聞こえてくる。CSIRTの活動を軌道に乗せるには、一体どんなポイントに留意すればいいのだろうか？

[PR／ITmedia]

PR

　2016年12月、都内会場にて、ITmediaエグゼクティブ編集部主催のセミナー「デジタル時代、もう避けて通れない経営課題としてのサイバーセキュリティ対策 〜CSIRTの構築と運用の勘所とは〜」が開催された。

　企業において経営やIT戦略に深くかかわるエグゼクティブに向けて、昨今のサイバーセキュリティの動向や対応方法、特に近年多くの企業が関心を寄せる「CSIRT」について重点的に取り上げ、識者による講演やパネルディスカッションが行われた。

　CSIRTとは“Computer Security Incident Response Team”の略称で、インシデントの発生を未然に防止するための事前対策や、発生後の事後対策、さらには平時における社内外との情報共有の窓口としての機能を有する組織。企業がサイバーセキュリティ対策を行うに当たって、極めて重要な役割を担うとされ、2015年末に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」の中でもCSIRTの設置が推奨されるなど、最近ますます注目を集めている。

「1人CSIRT」でもいいのでまずは組織を立ち上げることが重要

アイティメディア メディア事業本部 スマートコンシューマー事業部 副事業部長 石森将文

　パネルディスカッションには、情報漏えい事件について長らく取材を続けているITジャーナリストの三上洋氏、内部統制やガバナンスの観点から情報セキュリティ対策と深くかかわるオリンパスの鈴木均氏、「NEC-CSIRT」のリーダーとして日々社内のサイバーセキュリティ対策や社外との連携活動に奮闘しているNECの谷川哲司氏が登壇。「本音を探る！　CSIRT現場理解者に聞く構築のポイントとは？」をテーマにアイティメディアの石森将文が切り込んだ。

　「CSIRTの価値や重要性は多くの企業が認識するところとなったが、いざその取り組みを始めようとしても、何から手を付ければいいのか分からないという声をよく聞きます。一体どんなきっかけや動機で、CSIRTの取り組みを始める企業が多いのでしょうか？」

NEC 経営システム本部 セキュリティ技術センター／サイバーセキュリティ戦略本部 主席セキュリティ主管 谷川哲司氏

　モデレータの石森は冒頭でこう問いかけ、CSIRTの立ち上げや運用に苦慮する企業の声を代弁する。これに対して、国内企業のCSIRTにより組織される「日本シーサート協議会」で長らく活動を続けるNECの谷川氏は、「社内でセキュリティインシデントが発生し、経営トップからの指示でCSIRTを設置する企業も多いようです。また、シーサート協議会など、社外との連携を通じた情報収集を目的にCSIRT設置に乗り出す企業も増えてきています」と説明する。

　一方、三上氏は、CSIRTを新たに立ち上げる際には、必要以上にハードルを高く設定する必要はないと述べる。

ITジャーナリスト　三上洋氏

　「CSIRTのメンバーは、必ずしも専任要員でなくともいいと思います。事実、多くの企業では兼任メンバーが中心となりCSIRTを組織しています。そのためCSIRTはよく、“消防隊ではなく消防団である”と形容されます。あるいは、立ち上げ当初は社内外との窓口役を1人の専任メンバーが担当し、それ以外の活動は各部署から集まったメンバーが兼任で務めるような形でもまったく問題ありません。とにかくまずは組織を立ち上げて、社内外との窓口をきちんと設けることが大事です。」（三上氏）

　公式窓口を設けることは、平時に社内外から広く情報を収集するだけでなく、いざというときの「外部からの通報窓口」として機能するという意味でも極めて重要だという。事実、インシデントが発覚するケースのほとんどが、社外からの通報によるものだという。しかしCSIRT（もしくはそれに準ずる窓口）がない場合、自社のインシデント発生を知らされても、初動が大幅に遅れてしまう。

オリンパス 内部統制企画担当部長 公認内部監査人（CIA）、公認不正検査士（CFE） 鈴木均氏

　ちなみにオリンパスでは2015年5月にCSIRTを立ち上げたが、この際もメンバーは1人でスタートしたという。

　「社外にアンテナを張って情報を広く収集できる役割に期待して、CSIRTを立ち上げました。現在はIT部門内の組織という位置付けなのですが、今後は全社横断的に活動できる組織にしていく必要があると考えています。そのためには、サイバーセキュリティ経営ガイドラインでも提唱されているように、CISO（Chief Information Security Officer）といったセキュリティ担当役員を設けて、経営陣がCSIRTの活動を強力にバックアップできる体制が必要でしょう」（鈴木氏）

セキュリティ人材不足の悩みに特効薬はあるか？

　CSIRTの立ち上げや運営に課題を抱える企業が多い一方で、それ以上によく耳にするのがCSIRTのようなサイバーセキュリティに特化した組織を作ろうと思っても、それを担うにふさわしい人材が社内でなかなか見つからないという悩みだ。

　三上氏はこうした状況に対して「技術的な知識も大事だが、それよりも社内をまとめる力、普段から相談できる専門家とのパイプ、いざという時メディア対応ができるといった、コミュニケーション能力や対外折衝力に優れた人材が適しています。これらは幹部の重要な能力でもあり、ITに強い幹部を育てる場になるのでは」と期待を示す。

　鈴木氏は「IT部門が担当になるケースも多いと思いますが、IT部門内にとどまらず全社を巻き込み、外からの情報を収集し社内に発信する、仲間同士の情報交換ができるなどアンテナ機能を持つことがCSIRT担当者には求められます。そして経営者が彼らを専門家として扱い、社内にその存在を示すことも重要です」と話す。

　一方NECでは、社内で腕利きの技術者を集め、専任体制でNEC-CSIRTを運営している。「CSIRTのメンバーに選任される」というだけで、技術者としてのモチベーションが上がるというのもITベンダーならではと言える。

　「NECでは、攻撃を検知するセンサーの仕組みを重要視しています。センサーによってより多くのデータを取得できれば、それを使って対応能力を高めていく過程で人材も自ずと育っていくものです。優秀な人材が自ら進んで学習し、育っていけるような環境を提供することが重要です。"セキュリティ人材が育たない"と悩む企業は、人材が育つ環境を提供できているかどうか、今一度確認してみてはいかがでしょうか」（谷川氏）

谷川氏（右）、鈴木氏

最後にものをいうのは「人の力」

　企業を取り巻くサイバーセキュリティリスクは、今後高まることはあっても低くなることはないと言われている。特に日本は2020年が近づくにつれ世界中からサイバー攻撃のターゲットになるのではと懸念されている。

　そんな中、企業はこれからCSIRTやセキュリティ人材育成をはじめとするサイバーセキュリティ対策に、どんな姿勢で臨むべきなのか。三上氏はジャーナリストとしての視点から、本格的な普及が予想されるIoTにまつわるサイバーセキュリティリスクに注目する。

　「既にIPカメラをハックして、大規模なDDoS攻撃を仕掛ける事例が報告されています。今後本格的なIoT時代を迎え、企業の工場や店舗にIoTの機器が大量に設置されたとして、それらのサイバーセキュリティ状況をIT部門が完ぺきに把握できるでしょうか？　こうしたリスクに備えるには、事業の管轄を超えて全社横断で活動できるCSIRTのような専任組織がより必要になってくるでしょう」（三上氏）

三上氏（右）、石森

　鈴木氏は、組織やプロセス、IT技術の重要性を踏まえつつも、やはり最後に鍵を握るのは「人」の力だと強調する。

　「現場の担当者から経営陣に至るまで、きちんとリスク感覚を身に付けないことには、なかなか有効な対策に結びつかないのではないでしょうか。監査の世界では"職業的懐疑心"という用語で表現されますが、サイバーセキュリティにかかわるあらゆる立場の人々が、それぞれ専門家の立場から適切な疑いの目を持ってリスクを検知し、情報を発信していく姿勢を持つことが大事だと思います」（鈴木氏）

　最後に谷川氏は、会場に詰め掛けた参加者に対して以下のように呼びかけ、パネルディスカッションを締めくくった。

　「ITと直接関係がない企業にはなかなかサイバーセキュリティに長けた人材がいないといわれますが、探せば見つかることも多いはずです。適正があるのは社交性が高い人、もしくは探究心が強い人ですね。CSIRTを立ち上げて機能させるためには、そうした人材をうまく見つけて、きちんとチャンスを与えてほしいと思います。半年や1年といった短期間で成果を上げるよう要求するのではなく、3年程度の長い目で評価してあげてほしいです。特に取り組みの初期段階では、学習の機会や他社との交流の場を与えることが重要だと思います。日本のIT技術者は世界的に見ても優秀ですから、環境とチャンスさえ与えれば世界で立派に通用する技術者に育ってくれるはずです」（谷川氏）

登壇者

三上洋氏

ITジャーナリスト

　ITやネット社会全般に関するさまざまな話題や事件を日々追いかける中で、特に社会を騒がせ続けている情報漏えい事件について長らく取材活動を続け、CSIRTをはじめとする企業のセキュリティ対策について明るいことで知られる。

　

鈴木均氏

オリンパス 内部統制企画担当部長 公認内部監査人（CIA）、公認不正検査士（CFE）

　内部監査人として、内部統制やガバナンスの観点からサイバーセキュリティ対策と深くかかわる立場にある。近年の高度化、複雑化する一方のサイバーセキュリティリスクに対抗するには、CSIRT（もしくはそれに準ずる活動）が不可欠であると話している。事実、オリンパスでは鈴木氏が監査室長在籍時、監査提言に基づきCSIRTを立ち上げ、現在その活動を強化している。

　

谷川哲司氏

NEC 経営システム本部 セキュリティ技術センター／サイバーセキュリティ戦略本部 主席セキュリティ主管

　国内屈指のセキュリティ技術者として知られると同時に、NEC社内に設けられたCSIRT組織である「NEC-CSIRT」のリーダーとして日々社内のサイバーセキュリティ対策や社外との連携活動に奮闘している。NECはまた、CSIRTを中心とした自社のセキュリティ対策の実績をベースに、前出のサイバーセキュリティ経営ガイドラインに準拠するためのアセスメントサービスやコンサルティングサービスも提供している。

　

石森将文

アイティメディア メディア事業本部 スマートコンシューマー事業部 副事業部長

モデレータ