ここから本文です

インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言

ITmedia エンタープライズ 7月15日(金)12時8分配信

 サイバー攻撃や関係者の不正行為などによるセキュリティ事故(インシデント)が多発する昨今、国内ではインシデントへ組織的に対応する「CSIRT」を構築する企業が急増している。しかし、「CSIRTがあればインシデントに対応できる」と考えるのは早計かもしれない。

 ファイア・アイ主催のセミナーのパネルディスカッションでは、インシデント対応分野のエキスパートから企業や組織がセキュリティリスクへ対応していくために必要な視点が提示された。パネラーは、JPCERT コーディネーションセンター(JPCERT/CC)の真鍋敬士氏、日本シーサート協議会(NCA)の寺田真敏氏、ラックの西本逸郎氏、ANAシステムズの阿部恭一氏。モデレーターはファイア・アイ副社長の岩間優仁氏が務めた。

●ひっきりなしのインシデント

 企業や組織でインシデント対応が注目されるのは、営業機密や知的財産、顧客情報といった重要な情報資産が脅かされる事故が多発しているためだ。その状況はどのようなものか。

 JPCERT/CCではインシデント発生時の初期対応を支援しているが、真鍋氏によれば、当事者組織によって情報資産に対する意識に差異がみられるという。侵害が疑われても、情報資産の状況を適切に把握しておらず、対応が難しくなるケースがあるようだ。

 その一方でインシデント対応の重要性を認識する企業は増え、CSIRT構築の取り組みが広がり始めた。NCA参加組織は7月1日時点で161に上るが、その多くはこの1~2年で誕生したばかり。寺田氏は、CSIRT同士がフェース・トゥ・フェースで信頼関係を築き、インシデントのリスクに連携して立ち向かえる場にすることがNCAの課題になっていると話す。

 ラックはベンダーの立場から企業や組織のインシデント対応支援を手掛けるが、西本氏によれば、既に対応できないほどの要請があると話す。ただ、3000社近い国内上場企業の規模に比べると、CSIRT構築に取り組む企業はごくわずかしないと指摘している。

 西本氏はまた、企業の意識が個人情報の漏えいリスクに偏重しているとも指摘した。その背景には法令などが求める個人情報の保護義務が影響しているとみられるが、企業によっては守るべき重要性の高い情報資産の種類は異なってくるはず。優先的に保護すべき情報を見誤るとインシデント対応の遅れを招き、被害を拡大させてしまうという。

 阿部氏によると、航空会社にとっては利用者の個人情報がなければ、もはやビジネスができない状況だという。航空各社は世界的なアライアンスを組み、利用者が世界の隅々へスムーズかつ快適に移動できるビジネスモデルを構築している。ANAグループでは利用者情報の保護が最優先事項に掲げ、グループ従業員全てのセキュリティ意識の向上に最も注力していると紹介した。

●インシデント対応の“障壁”

 国内で多発するセキュリティインシデントだが、西本氏はインシデントに対応しようとする企業は危機感を伴っている点で良い方なのだという。

 大抵のケースではそもそもインシデントに気が付かず、外部から通報されてようやく事態を知る。それでも対応しなかったり、遅々として対応が進まなかったりする企業は少なくないようだ。真鍋氏によれば、JPCERT/CCがインシデント発生の可能性のある当事者企業などへ連絡する際に、まずJPCERT/CCがどのような組織なのかを説明しなければならないことがあるという。その説明をしている間にも脅威は進行し、被害が拡大しかねない。

 各氏は、インシデントの対応ではCSIRTのような機能や組織を“カタチ”として整備するだけでなく、実際に適切かつ有効に働くようにする必要性を挙げる。

 「インシデント対応にまつわる言葉やプロセスといったことを知らなければ、その説明だけで時間を費やしてしまう。スムーズな対応には(CSIRT同士の)相互理解や共通認識が欠かせない」(寺田氏)

 「(標的型攻撃の被害が顕在化した)2010年頃を境に。企業が自前でインシデントに対応できないようになってきた。対応体制やCISO(情報セキュリティの最高責任者)を作るだけではなく、対応そのものに慣れることが重要だろう」(阿部氏)

 つまり、CSIRTのような仕組みを“器”として作るだけでは、インシデント対応は不十分というのが各氏の見解だ。西本氏は、サイバー攻撃など情報資産に危機をもたらす脅威には、「セキュリティインテリジェンス」と呼ばれる脅威に対抗するための情報活用が欠かせないと話す。

 「サイバー戦を制するには情報が必要。ところが日本は、水と安全と情報はタダという意識が強い。脅威に対抗するための情報はタダでは手に入らないし、情報を使うにもその重要性や意義を理解していないといけない」(西本氏)

 インテリジェンスのような対抗手段は、単に待っているだけでは手に入らない。インシデントに対応する人々や組織がお互いを信頼、連携してインテリジェンスを生み、活用していく環境も求められるという。

●企業が“その気に”になるためには?

 インシデント対応を企業に根付かせるにはどうすべきだろうか。

 まず、インシデント対応に限らずセキュリティ対策には資金が欠かせない。阿部氏は「企業として『何を守るのか』、スコープを決めることが大事」と話し、西本氏は、「セキュリティは投資か、コストかという議論があるが、それ以前に、企業にとってITが投資か、コストなのかを考えるべき。投資ならビジネスを動かすものであるべきだが、ITをコスト削減の手段と捉えている日本企業は多い」と提起した。

 真鍋氏は、サプライチェーンなど企業間取引の中でセキュリティが価値として認識され、ビジネスに貢献することに期待しているという。これに西本氏は、「まだ実際に聞いたことはないが、例えば、企業買収に伴う資産の査定でセキュリティ状況を評価するようになれば、セキュリティの重要性がより認識されるだろう」と答えた。

 阿部氏によれば、企業間アライアンスがおなじみとなった航空業界では、真鍋氏の挙げた観点がまさしく重要だと説いた。例えば、EUでは個人情報やプライバシーに関する規制強化の動きが進んでおり、国や地域の垣根を超える航空ビジネスへの影響は無視できないものだという。

 各氏からはインシデント対応におけるポイントが次のように示された。

・「事象の大小にとらわれることなく、何を守るべきかを考えていただきたい」(真鍋氏)
・「CSIRTはインシデントの対応能力を組織化であり、その活動はセキュリティの文化といえる」(寺田氏)
・「個人情報に偏ることなく、営業機密などその企業にとって守るべき情報をしっかり認識することが転換点になる」(西本氏)
・「(航空会社としての)社会を支える使命が脅かされてはいけない。脅威を知り、事前に対応していくことも求められる」(阿部氏)

最終更新:7月15日(金)12時8分

ITmedia エンタープライズ