Insights

vol.1 - 2016年 12月6日

CSIRTの次なる一手
−プロアクティブなセキュリティ機能構築の必要性−

大規模組織を中心にCSIRTの構築が進んできているが、その一方で、要員の不足などの理由でCSIRTが十分に機能していないといった課題も多数の企業に存在する。こうした課題を早急に解決することはもちろんであるが、より能動的なCSIRTへと進化させなければならない局面に早くも直面している。

NRIセキュアテクノロジーズ株式会社
事業推進部長

関取嘉浩(せきとり よしひろ)

専門は情報セキュリティ関連の事業企画

国内では、器は整備されつつあるが、中身はこれから

CSIRTの必要性は大企業中心に急速に浸透してきており、特に金融機関などではCSIRTを構築済みという企業が大部分となってます。インシデントに備える器という意味では、かなり整備されたと言ってよいでしょう。実際、NRIセキュアテクノロジーズの「企業による情報セキュリティ実態調査」2015年版では、「CSIRTを構築済み」「類似機能を情報システム部門で実施」「構築中・検討中」を合わせると48.7%に上り、2013年の28.9%から大きく増加しています。
一方で、組織としてのCSIRTを構築したが、実際にインシデントが発生した際にしっかり機能するのか。この点は懸念の対象です。同調査では、CSIRTを構築した企業に対して「運営に関わる課題」を質問したところ、45.8%が「要員の不足」を、43.8が「要員のスキル不足」を挙げています(複数回答)。また、別の設問では、CSIRT構成要員の83.3%が他業務との兼任であるという回答が得られています。もちろん、インシデント発生時の即応体制が明確に規定されているだけでも大きな意味がありますが、十分なスキルを持った要員をアサインできていない状況では、期待された効果を発揮させることは難しいでしょう。
実際、NRIセキュアテクノロジーズに対しても、CSIRT運営の支援、具体的には常駐・半常駐での要員派遣の引き合いが少なくありません。しかし、CSIRTで専任担当者として中核を占めるメンバは、少なくとも長期的には社内の人員で賄うべきです。そのためには、要員育成のための予算を確保し、中長期的かつ計画的な育成を行っていく必要があります。

プロアクティブな活動に進化する米国

一方、悪質化・高度化するサイバー攻撃への対応として、欧米のセキュリティ先進大手企業を中心にCSIRTの考え方が進化しつつあります。これまでのCSIRTの役割は、通常業務としてソフトウェアの脆弱性情報収集・対策などを行いつつ、ひとたびインシデントが発生すればその対応を行うというものです。つまり、基本的にはリアクティブ(受動的)な活動が主体でした。これは「消防署」に例えられます。消防署の役割にはもちろん「火の用心」を呼びかけることも含まれますが、やはり活動の中心は火災が発生してからです。この立場でみると、あたかも消防団のように、CSIRTの要員が兼任であることにも一定の合理性を見いだせます。
ところが、これでは高度化する攻撃への対応が後手にまわってしまう危険性がありますし、そもそもインシデントを予防するほうが望ましいことは言うまでもありません。そこで、よりアクティブにディフェンスサイクルを回す、プロアクティブ(予防的)なCSIRTを目指す動きが始まっているのです。

専任担当者がプロアクティブな活動を担当

同様に例えるなら、これは「警察のパトロール」にあたるでしょう。なにもないうちから巡回見回りを行い、インシデントの火種を探して消すという機能を、CSIRTに持たせるものです。これを担うメンバを「ハントチーム」として組織し、CSIRTに組込みます。かれらに聞くと、すでにこのハントチームの構築を支援するというコンサルサービスの提供も、すでに各ベンダで盛んになっているそうです。
さて、このハントチームの具体的な活動とはどんなものでしょう。まず挙げられるのが監査やペネトレーションテストの活動です。継続的にこれらのチェックを行うことで、インシデントにつながる小さな火を見つけ出し、事前に対処します。
しかし、ハントチームの重要な活動は他にもあります。それは、常からモニタリングを行うことで、正常な状態を把握しておくことで異常を検知することです。スレットインテリジェンス(※)の活用が代表的なものとしてあげられるでしょう。常に「割れ窓」を探して塞いでいく、能動的な活動。増員を行ってでも、このようなプロアクティブな活動の担当者を置くことが、今後ますます一般化していくでしょう。それを視野にいれるなら、CSIRTの中核メンバは兼任をしている場合ではないのではないでしょうか。

外部の専門家・外部との情報共有も必要

とはいえ、プロアクティブな活動を効果的に行うためには、それに応じたスキルが必要になります。どのようなスキルが必要になるのか。一見、スレットインテリジェンスを活用して今おきている攻撃を分析・予測し、対応するのは、華やかな仕事に見えますし、そう言う人もいます。ですが、私の考えではこれは極めて地味な作業が大部分を占めます。攻撃手法を分析し、その予兆をプロファイリング。ログで同じことが起きたらこれに素早く対応するというのがこのインテリジェンスの根幹であり、事前にきちんと分析できるかが鍵になります。これを常時行う人が必要になるというわけです。
「要員のスキル不足」が大きな課題として挙げられている中、これを埋めるというのは容易ではないでしょう。さらにスレットインテリジェンスを考える時には、自社だけではなく他社の情報も集めたいところです。そのためにはセキュリティ情報を共有するための組織であるISACのような枠組みを利用することも必要になるでしょう。
現実的には、ハントチームの機能の一部を外部の専門家にアウトソースすることも必要になるでしょう。このような会社の利用は、会社を超えた情報収集のためにも有効です。

自社のCSIRTの構成と、メンバのキャリアパスを定義する

外部のリソースを活用する場合に、意識しておくべきことがあります。それは、社内メンバと外部メンバの役割を定義し、その上で社内メンバの育成計画とキャリアパスを、3年から5年くらいの期間で策定しておくことです。まず、社内メンバから外部との窓口にあたるPoC(Point of Contact)を選任します。そして、5年後のCSIRTの構成を想定し、その中での社内メンバの職務とポジションを定めることで、どのような育成プログラムが必要になるかが明確になります。
さらに、自社全体のキャリアパスにおけるCSIRT担当者の位置づけを明確にすることも重要です。高い専門性が求められるポジションであるため、そのキャリアの前後を含めて社員をどのように育成し、処遇していくかを明示にすることで、担当者のモチベーションを涵養するとともに、CSIRTのミッション・外部との役割分担も明確にすることができるのです。

 

Insights インデックス

次の記事 »

お問い合わせ / 資料請求

ご不明な点、ご要望、ご相談等ありましたら、お気軽にお問い合わせください。資料請求も承っております。

お問い合わせ
資料請求はこちら