日本国内のインシデントレスポンスであっても、セキュリティ担当部門が在席するオフィスから離れた拠点では、対応が困難になります。これが海外拠点であれば時差もあるため尚更です。
昨今、多くの日本企業がグローバルに事業展開を進めており、世界中に生産拠点や販売拠点、事業会社が広がっています。情報セキュリティの観点でも、海外拠点を含めてグループ企業一体となってセキュリティインシデントに対する対応体制の強化を図るために、グローバルにおけるインシデント対応体制の構築を検討する企業が増えています。
グローバルでインシデント対応体制を検討する際、日本国内でのCSIRT体制をそのまま拡張するだけではうまくいかないケースが多いです。本記事では「グローバルCSIRT」の構築を検討する上でのポイントを解説します。
グローバルでのセキュリティ統制が求められる中、グローバルCSIRTを構築する際に、「1. 時差」、「2. 地域差・文化の差」、「3. 距離」 の大きく3つの壁が存在します。いずれも日本国内を対象としたCSIRT構築では、意識することはあまり無いですが、グローバルを対象とした場合は、非常に大きな壁となります。
アジア、中国、オーストラリア等であれば、時差は少ないため、日本の営業時間+αで対応できますが、欧州や米州では、現地の昼間が日本の深夜・早朝になってしまいます。現地からの通報やインシデント検知に速やかに対応する体制を日本で作るには夜間シフト体制などを考える必要があります。
図1. :月間のインシデント発生件数の例
インシデントの発生時間や発生件数の傾向は、業種や会社規模、セキュリティ対策の成熟度により異なります。そのためグローバルCSIRT構築のファーストステップとして、直近1年間等の全グループ会社で発生したインシデントの検知時刻および件数を可視化し、現状の日本のCSIRT体制で対応できるのか、体制強化すべきなのかを判断する必要があります。
各国の法律、各業界のレギュレーション対応を棚卸し、それぞれの要求事項への対応を日本のみでコントロールすることは、かなり骨の折れる作業です。また法律やレギュレーションは変化していくため、常に制度の改訂に注意をむけ、判例や他社の動向等の調査、微妙なニュアンスの解釈や判断等をし続けなければなりません。
また、文化の違いや言語の違いも考慮する必要があります。日本よりもプライバシー意識が高く他国からの関与を拒否するセキュリティ担当者や、予め決められた業務内容や業務時間のみ対応するといった考え方を持っているセキュリティ担当者もいます。日本人のように忖度して対応してもらうことは難しく、事前にいつどんな目的でどんな役割・責任で業務をしてもらうのかといった、ネゴシエーションを確実に行うことも重要です。
地域差・文化の壁は、あえて壊すのではなく、「ローカルはローカルに任せる」という役割分担を明確にした体制づくりをすると良いでしょう。
フォレンジックのために、PCを回収しに国境をまたぐのはいくつものハードルがあります。対応時間、コストを考慮すると国をまたがるフォレンジックは得策ではありません。また、海外拠点の場合、マルウェア検知しても「どこにPCがあるかわからない」「誰に連絡すればいいかわからない」「連絡先がわかっても連絡がつかない」などの課題が多く見受けられます。
このような場合に有用なソリューションの一つとしてEDR(Endpoint Detection and Response)が注目されています。
このソリューションは、PCやサーバにインストールする必要がありますが、検知(Detection) するだけでなく、リモートで分析・対応(Response) までできる機能を備えています。EDRを導入することで、PCをネットワークから切り離すために、PCの担当者に連絡がつかずに対応が遅れるといったことなく、管理画面からのマウスクリック1つで隔離することができるようになります。またフォレンジックに必要な情報は日々クラウドや管理サーバ上に収集されるので、PCを回収して分析せずに、リモートから詳細な調査を続行することもできます。
昨今、グローバルCSIRT構築に関するニーズが増えてきたのも、リモートでインシデント対応できるこのような製品の台頭が後押ししていると考えられます。EDRサービスの検討は、グローバル企業だけでなく、本社部門から離れた複数の拠点を保有する日本企業にも非常に有効です。
図2. グローバルCSIRT体制のパターン
日本CSIRTですべてを対応するパターン(日本CSIRT主導型)、北米、ヨーロッパ、アジア等のリージョンにCSIRTを構築し、各事業会社・拠点のインシデント対応を実施してもらうパターン(リージョンCSIRT主導型)、各社にCSRITを構築し各社毎にインシデント対応してもらい日本は状況報告のみしてもらうパターン(各社CSIRT主導型)の3パターンが考えられます。
また、自社のグローバルCSIRTの体制パターンを検討する上で必要な判断要素として、海外事業会社の規模だけでなく、ガバナンス適用のし易さや、各事業会社のセキュリティ人材の配置状況等を総合して判断する必要があります。
例えば、海外事業会社が少なく、海外でインシデントも殆ど発生していないのであれば、あえて海外にCSIRT組織を構築する必要はないでしょう。
また、M&A等で連結会社になったばかりの事業会社や規模の大きな事業会社等、独立性が高く 各事業会社で適切に機能するCSIRT組織が構築できる場合は、各社CSIRTにインシデント対応を任せ、日本へは適宜状況報告をするのみの体制で十分です。
しかしながら、各事業会社のみではセキュリティを任せきれず、隠蔽のおそれもある、それでいて速やかなインシデント対応が求められるような場合は、リージョンCSIRT体制の構築を推奨します。各国の法対応や各国の所轄機関への報告等、ローカルでしかできないことはローカルに権限委譲した上で、リージョンCSIRTにインシデント対応を実施させ、日本CSIRTは、リージョンCSIRTの監査および状況把握、必要な場合に技術フォローを実施するという体制が望ましいです。
グローバルCSIRT体制構築を進める上で、特に注意しなければならないのは、いかにして現地の担当者からの協力を得るか、ということです。「日本から突然、面倒なことを押し付けられた」と思われた場合、その時点でグローバルCSIRT構築は試合終了です。
なぜグローバルにおけるインシデント対応体制が必要なのか、その中でリージョンCSIRTや各事業会社の役割は何なのかを説明し、理解を得ることで初めて次のステップに進むことができます。グローバルCSIRT構築は、日本側のみの意思で進めつづけることはできません。海外担当者との信頼関係をいかに構築するかが、成功の秘訣です。
グローバルCSIRT体制の構築にあたっては、「時差」、「地域差・文化の差」、「距離」の3つの壁が生む課題を認識して、検討を開始することで、海外拠点を含めた自社全体の特性を考慮したグローバルCSIRTのベストフォーメーションにつながります。
海外担当者との信頼関係を構築しながら、グローバルCSIRTの構築を進めていくことは一筋縄ではいきませんが、現状のセキュリティ対策状況を可視化して、全社で共通の理解を持つことは、多様な人材と合意形成をしていくために重要だと考えています。
セキュリティ対策状況の可視化には、ぜひSecure SketCHを活用頂ければ幸いです。