米国 世界最古のCSIRTで学んだこと 情報共有はゴールではない、共有すべきは……（前編）：サイバーセキュリティマネジメント海外放浪記（1/2 ページ）

カーネギーメロン大学のCERTコーディネーションセンターで20年。多数の企業や大学、NGO、政府機関などと仕事をし、毎日、多くのことを学んでいた。

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　コロナ禍で、サイバー空間の状況は悪くなる一方です。まず、今まであまり話題になることのなかったVPN機器関連のセキュリティの問題が頻繁に出てきています。中にはゼロデイ脆弱性も含まれており、今後、さらに対応の重要度が増していくと感じています。また、インターネットで簡単に購入できる安いネットワーク機器に安易に手を出すと、開発ベンダーのセキュリティ対応が不十分で苦しめられるというケースもたまに見かけます。安かろう悪かろうの世界ですね。

　また、昨今のDXの流れでは、IT部門ではない部門がDXを主導するために、セキュリティ対策がおろそかになるケースも多いようです。社内における部門横断的な調整がネックになっていて事案につながってしまったケースや、案件が進まないケースなども見聞きしているところです。おそらくですが、今後は社内横断的な調整機能の必要性が注目されてくるのではないでしょうか。

「CSIRTは消防署」の生みの親はどんな人？

ジェフ・カーペンターの比較的最近のもの

　今回の海外放浪記は私の15年くらいの友人で、生粋の米国人（ペンシルバニア州、ピッツバーグ生まれ）のジェフ・カーペンターを紹介します。

　彼は1978年生まれの私より大分年上ですが、とても気さくで、私が米国出張に行った際は、一緒に食事をしながら情報交換しています。彼は、世界初のCSIRTといわれる米国のCERT/CCで長いキャリアを積んでいるのですが、副業で消防士をしており、CSIRTを消防署になぞらえた説明を始めたのもどうやら彼のようです。

　なお、私自身は電話でのコミュニケーションが苦手なので（これは日本人に対してもです）、彼とはいつもチャットやメールでやりとりしていますが、日本だと彼くらいの年齢の人でメールやチャットでサクサクと対応してくれるひとは珍しいと思います。

　それで何年か前に「アメリカでは年齢層高めでもメールやチャットを使いこなすのかい？」と聞いたところ「自分の年齢くらいだとほとんどの人は電話大好きだと思う。自分はレアケース」と話していました。

　ジェフが日本に来たときに、日本のことで困るとよく写真を送ってきて「これはなんだ？」と聞かれることがあります。その中で面白かった1枚はこちらです。まあ、ここではあえて説明しません。

サイバーセキュリティ歴30年、毎日が勉強

鎌田　ジェフ久しぶり。元気ですか？

ジェフ　元気です。アメリカはコロナも大変ですが、ランサムウェアで大変です。企業によってはランサムウェアのせいで倒産するところもあります。日本のコロナの状況はどうですか？

鎌田　日本は通勤電車には相変わらず人がたくさん乗ってるね。今日はサイバーセキュリティについていろいろ質問させてください。まず読者のみなさんに自己紹介をお願いします。

ジェフ　私の名前はジェフ・カーペンターです。今はDell TechnologiesのSecureworksで、インシデントレスポンスのコンサルティングと脅威インテリジェンスのシニア・ディレクターを努めています。私のチームには、約100人のインシデント対応のコンサルタント、情報分析担当、リサーチャーがおり、顧客の事案対処の支援や事案対処のための準備支援を行っています。私自身はサイバーセキュリティの分野で30年になります。

鎌田　30年！

ジェフ　そう、30年。

鎌田　自分はまだサイバーセキュリティ20年です。では、次にジェフ自身がITやサイバーセキュリティをどうやって学んできたか教えてもらえますか。

ジェフ　私のキャリアは大きな組織のIT部門からスタートしています。ユーザが5万人ほどいる大規模な大学で、電子メールやファイルサーバ、ソフトウェア配信サーバなどのサービスを提供する仕事をしていました。この業務経験から、ITを運用しながら、スケーラブルであり、セキュアな環境を構築する手法を学びました。これは本当にものすごい経験でした。

　その時には画期的なことをたくさん経験しましたが、例えば、ユーザがさまざまなプラットフォームを横断的にファイルやデータにアクセスできるような仕掛けを作りました。その仕事をしている時に、ある部署のコンピュータがしょっちゅうハッキングされていたので、大学にこの問題を解決するためにインシデント対応チームを作るべきだと提案したのですが、あまり興味をもってもらえなかったので、私自身は大学を辞め、セキュリティの世界で生きていくことにしたのです。

　次の仕事に選んだのは、カーネギーメロン大学のCERTコーディネーションセンター（CERT/CC）でした。CERT/CCは世界で初めてのCSIRTであり、私はそこに20年もいました。

鎌田　20年！

ジェフ　そう、20年。CERT/CCはインターネットにおけるセキュリティインシデントとしては最も大きな、1988年に発生したモリスワーム事件がきっかけで作られた組織です。私がCERT/CCにいたときは、インシデントレスポンス、インシデント分析、脆弱性の発見や修正、マルコードの分析（注※：Malicious Codeの意味で、Malwareもこれに含まれる）、セキュアコーディング、National CSIRTの構築支援などの仕事を管理する立場にいました。その仕事をしている間は、本当に多くの企業や大学、NGO、政府機関などと仕事をしましたが、毎日、多くのことを学んでいました。

鎌田　毎日！

ジェフ　そう、毎日。なお、Secureworksで働き始める前は医療機器製品のセキュリティの仕事に携わっていました。

鎌田　医療機器製品のセキュリティで苦労した話を前にいろいろ聞かせてくれたのを覚えています。

ジェフ　そうだね、公にはできないけれど、あれは大変だった。

ジェフがピッツバーグ在住のときに訪問した際に歴史的な大雪に降られたことがあります。これはその時の写真。このときは予定していた帰りの飛行機がキャンセルされて大変でした。

サイバーセキュリティにおいて情報共有は重要だが、ゴールではない

鎌田　サイバーセキュリティの取り組みがもっと進展するために重要なことは何でしょうか？

ジェフ　サイバーセキュリティの話を始めるときは、第1に、これはビジネスの問題だと説明することが重要です。技術の問題は2番目です。われわれは効果的なリスク管理策の立案と、業務環境においてレジリエンスを構築するのに失敗しているのです。

　まず初めに、自分がもっている価値のあるものは何かを知ることが重要です。それがどこにあるのか、失ったらどういうインパクトがあるのか。その次に、どのように守るのかという技術的なことを考えるべきです。これらはビジネスの問題であって技術の問題ではありません。

　そのことを念頭におきつつ、人・プロセス ・技術の3つの要素をバランスよく考える必要があります。

　セキュアでレジリエンスのあるシステムやインフラを設計する役割を持った企画よりのスタッフと、事案が起きたときに対応する技術よりのスタッフ、大きく2つの役割があるなかで、どのように人材をバランスさせるか。

　あとは、効果的な業務プロセスを確立し、そのプロセスをしっかりとテストすることです。その上で、技術的な多層防御を実装すること。さまざまな企業において、技術的な対応策を優先的に考えて導入したものの、結果として効果的に使うことのできないケースをよく見かけます。また、インシデント対応計画を策定するものの、現実的な演習を実施しないので実効力のないものとなってしまっていることも多くみられます。