脅威インテリジェンスの運用を内製化するコツ｜「自分たちの会社は自分たちで守る」という強い意志

井尻：シスメックスには70余年にわたって培ってきた多くのノウハウや知的財産があります。それらを守るため、日本人以外のメンバーも含むSysmex-CSIRTを立ち上げました。各国拠点との情報連携、共有をいかに密に行うかを意識して活動し、海外販社の担当者と合同でサイバー机上演習を実施するなど、さまざまな取り組みを進めています。

私たちの戦いに終わりはありません。単純にツールを入れ、多層防御を講じて終わり、CSIRTを作って終わりではなく、常に攻撃のトレンドを踏まえながら対策し続ける必要があります。それには地政学的なリスクも含め、いまどのような脅威があるのかという「風」を読む手段が必要だという前任者の考えもあり、脅威インテリジェンスを導入することにしました。

井尻：脅威インテリジェンスを活用すれば、我々単独では把握できない攻撃の動向や情報漏洩の兆候を把握できます。しかし、いきなり自分たちで活用するのはハードルが高いと感じていました。そもそも脅威インテリジェンスを使った監視とは日々どのように行うのかを、まず横目で見て、理解したいと考え、段階を踏んで進めることにしました。事実、最初に手厚いサポートをいただきながら運用したのは、内製化に向けた良いステップになったと考えています。

NRIセキュアさんからも、まずはマネージドサービスを導入して徐々に運用に慣れ、ナレッジを移転した上で最終的に内製化するという3年計画の提案をいただき、2022年から計画をスタート、2025年の内製化を目指して、2022年にNRIセキュアの『マネージド脅威情報分析サービス』を導入しました。

井尻：

マネージドサービスでは、発見された事項と対処に関する連絡をその都度いただけます。NRIセキュアのマネージドサービスを一年間利用し、端的にいって満足していました。

ただ、CSIRTとして各国拠点と情報を共有し、対処を依頼していく立場としては、「どういうきっかけで脅威を見つけ、なぜ対処が必要だと判断したのか」を自分たちできちんと理解しておく必要があると思っていました。

井尻：一番不安だったのは、リスクの深刻度を判定するトリアージの部分でした。『マネージド脅威情報分析サービス』では、発見された事象について、NRIセキュアさんが「中」「高」といったリスクを付けて提供してくれます。果たして自分たちが適切にその判断を下せるだろうかという心配がありました。

井尻：

NRIセキュアから二種類のトレーニングを提供していただきました。

一つは脅威インテリジェンスの基礎知識に関するトレーニングです。脅威インテリジェンスとはどのようなもので、どういった情報が得られるのか、そして得られた情報をどうするのかといった事柄について、ある程度シスメックス用にカスタマイズを加えたトレーニングメニューを受けました。

もう一つは、トレーニングというより運用支援に近い内容です。マネージドサービスから内製化に移行するタイミングで、三ヶ月間、一緒になって運用を見ていただきました。

我々が日々監視しているコンソールやアラートと同じものをディーンさんたちにも見てもらい、一週間に一回程度のペースでミーティングを行い、「見つけるべき脅威を見つけられているか」「見つかった事象のリスクを正しく判断できているか」の答え合わせを行いました。こうした経験を通して、「これなら自分たちでもある程度できそうだ」と自信を付けることができました。非常に有意義な三ヶ月だったと思っています。

井尻：

やはり多くの企業の支援を通して数をこなされているからこそ、NRIセキュアさんはこれまでの知見や経験がパターン化できており、迅速に判断を下せるのだなと思いました。またディーンさんが専門家としてディープウェブやダークウェブの知見を多く持っているため、一見関係ないように見える情報でも、トレンドや背景も含めてアドバイスをいただくことができ、広い視点を持つ必要性も感じました。

井尻：

具体的に「こんなインシデントを未然に防げた」という例があればいいのですが、今のところそうしたケースはありません。ただ、仮に何らかのリスクが顕在化しても、会社に対する影響を最小限に抑えられると信じて取り組んでいます。

井尻：

上層部もそこは心配していました。しかしそれ以上に、自分たちで判断を下し、タイムリーに対応していきたいという思いを説明することで理解を得ることができました。

やはり、単にアラートを受けて裁くだけでは、CSIRTとしての価値が薄いのではないかと私は思っています。CIRSTのメンバーにも専門性を持った対応が求められていくと思っており、脅威インテリジェンスの活用はその一つだと思っています。

ただ、今は脅威インテリジェンスのツールから出てきたアラートを一つ一つ愚直に見て、「これは関係ない」「これはもう少しちゃんと見た方がいいからリストに加えておこう」といった判断を下しています。数がそれなりに多いため、この先、もう少し効率的に進める方法を検討すべきかもしれません。

井尻：

現時点ではそこまでリソースが潤沢ではないため現メンバーでやりくりしていますが、おっしゃる通り、この先新たなメンバーが加わってもスムーズに対応できるよう、ドキュメントの整備や、背景として必要になる脅威インテリジェンスに関する知識を持つ人材の育成にも取り組んでいかなければならないと思います。

井尻：

我々事業会社としては、高い専門性を持つNRIセキュアのような会社に頼る部分はあると思っています。たとえば、脅威インテリジェンスで見つかった事象に関して、時にはダークウェブ、ディープウェブの背景情報も踏まえながらより深く調査するといった部分は、やはり我々には難しく、サポートしていただけると助かります。

一方で、自分たちの会社は自分たちで守っていかなければなりません。そのモチベーションを持ちつつ、自分たちの専門性を高めながら取り組んでいくことが、社内CSIRTには求められると思います。これからもそうした意識を持ち、NRIセキュアの支援も活用しながら対策を進めていきます。