攻撃に利用するための「全世界の脆弱なDNSサーバーをリストアップ」するのにかかる時間は? CSIRTの立ち上げやセキュリティの内製化など、ここでしか聞けなかったセッションを紹介しよう。
@IT編集部は2015年2月26日、東京コンファレンスセンター(東京・品川)で「セキュリティセミナー 東京・福岡・大阪ロードショー」を開催した。第1回、第2回に続き、凸版印刷によるCSIRT組織立ち上げの取り組み事例やDeNAによるセキュリティの内製化など、各社の取り組みを解説した講演を中心にリポートしよう。
「印刷」というテクノロジを基盤に、多様な事業を展開している凸版印刷。重要なデータを取り扱うことも多く、その事業にとってセキュリティは欠かせない要素だ。同社のICT統轄本部 業務システムセンター 業務システム技術部 業務環境チームの庄司朋隆氏が、「TOPPAN-CERT」を立ち上げ、運用していく上での留意点について紹介した。
TOPPAN-CERTが活動を開始したのは2010年9月のことだ。凸版印刷ではそれ以前から、セキュリティに関する社内規定の整備や教育などに取り組んできたが、「事故前提型」という考え方に基づき、インシデントへの適切な対応を図ることを目的に、組織内CSIRTの設立に乗り出した。
といっても「最初は、『そもそも組織内CSIRTって何をするの?』について、ネットで情報収集するところから始めた。その際、JPCERT/CCや日本シーサート協議会の文書、知見が非常に役に立った」。また、組織内CSIRTは構築してそれで終わり、という性質のものではない。そこで、「経営層に組織内CSIRTの必要性を理解してもらうための材料をいろいろと用意した」という。
こうして2010年5月から8月にかけて準備とメンバー集めを進め、部署横断型のバーチャルチームとしてTOPPAN-CERTは発足した。このとき、「困ったときの何でも屋」にならないよう、組織内CSIRTが提供するサービスを明確に定義したという。基本的には、直接手を動かすのではなく、「ハンドリング」を主たる任務とした。ウイルス対策自体も別チームが実施し、そのチームとの情報連携を行う、という形で「役割分担についていろいろと議論した」そうだ。
「期待効果は四つありました。一つは、セキュリティに関する事故が発生したとき、どこに相談すればいいかという窓口を集約できること。二つ目は、再発防止策を他事業部にも展開することで、組織全体のセキュリティレベルの向上を図れること。三つ目は、社内外に向けたメッセージの発信。そして、四つ目が一番の効果だと思っていますが、他組織との連携が図れること」。
「何か問題が起きたときにだけ勉強するのではなく、日頃の交流を通じて、ギブ&テイクで手を取り合うことが大事だと思う。信頼できる相手と情報を交換し、(必要な対策について)適正なレベル感を把握できる」。
2014年に大きな話題となったApache Struts 2の脆弱性対応もその一例だという。この脆弱性に関して「最初はいろいろな情報が飛び交っていたので、何が正しいかを見極めた上で、回避策や対策を含めて複数回にわたって通達を出した。このとき、表向きの対応とは別に、裏側でCSIRT間の情報連携を行うことで顧客対応をフォローした。会社の枠を超えた対応が可能になり、満足のいく結果になったと思う。このことからも、日頃の交流が重要だと感じた」と庄司氏は振り返る。
情報システム担当者のための「突撃! 隣のセキュリティ」(1):
「100年前から情報セキュリティ」――凸版印刷に見る大規模企業の対策と現実
http://www.atmarkit.co.jp/ait/articles/1405/26/news001.html
Copyright © ITmedia, Inc. All Rights Reserved.