「名ばかりCSIRT」にならないために必要なことは？ PwC星澤氏が提言：責任を持って取り組む担当者を

PwCサイバーサービスは、2015年のサイバーセキュリティ動向を振り返る記者説明会を開催し、特に話題となった標的型攻撃への対処から得られた教訓について解説した。

[高橋睦美，＠IT]

　PwCサイバーサービスは2015年12月11日、2015年のサイバーセキュリティ動向を振り返る記者説明会を開催した。同社の最高執行責任者兼スレットインテリジェンスセンター センター長の星澤裕二氏は、日本年金機構における個人情報漏えい事件で脚光を浴びた「標的型攻撃」への対策としてCSIRT（Computer Security Incident Response Team）構築に取り組む企業が増えているとの認識を示した。一方で、「形を整えるだけでは意味がなく、きちんと機能させていかなければならない」ことを強調した。

PwCサイバーサービス 最高執行責任者兼スレットインテリジェンスセンター センター長の星澤裕二氏

　たびたび報じられていることだが、日本年金機構における個人情報漏えい事件では数度にわたってマルウエアを添付したメールが送られ、複数台の端末が感染し、外部のサーバーと通信していたことが後の調査で明らかになった。年金加入者への情報提供や年金番号の変更といった一連の対応に要した費用は最終的に約8億円に上るとも言われている。

　この事件を機に、多くの企業や組織がセキュリティ体制の見直しに取り組んだ。その中でも多いのが、セキュリティインシデントの対応に当たるCSIRTの構築で、「CSIRT構築支援に関する問い合わせは非常に増えている」（星澤氏）という。

　問題は、形を整えたことで満足し、「名ばかりCSIRT」に陥る恐れがあることだ。「組織を作っても機能していないことがある。対応手順が明確化されていなかったり、社員に周知できていなければ、結局対応の遅れにつながる。加えて、インターネット遮断といった対応を迫られた場合、誰が、どのタイミングで判断するかという手順も明らかにしておかなければならない」（星澤氏）

　その解決策として星澤氏が重視するのが、セキュリティ事故に対して全社横断的に指揮を執り、対応を進める「最高情報セキュリティ責任者（Chief Information Security Officer、CISO）」の役割だ。

　このCISOも同様に「名ばかりCISO」に陥る懸念がある。過去にも、情報漏えい事件を機に最高セキュリティ責任者（Chief Security Officer、CSO）の設置がブームになったことがあったが、その後も本当に機能しているだろうか。

　PwCの「グローバル情報セキュリティ調査 2015」によると、日本においてCISO／CSOを設置している組織の割合は、2014年の40％から54％に増加した。これはグローバルと同率であり、数字だけ見れば同水準だ。「ただ、その内容が違う。そこが課題だ」と星澤氏は述べた。

　例えば、海外ではCISOのレポート先を最高経営責任者（CEO）としている割合が36％に達しているのに対し、日本では24％にとどまる。「情報セキュリティはテクノロジの問題であるが、テクノロジだけではなく経営にインパクトを与えるものだという認識が必要だ」と同氏は述べ、経営層を巻き込んで取り組んでいくことが必要だとした。

　「CISO／CSOといった役職名はともかく、責任を持ち、リーダーシップを執りながら専任で情報セキュリティに取り組む人がいなければ、CSIRTを作っても機能しない」（星澤氏）

　星澤氏は他のトレンドとして、「IoT（Internet of Things：モノのインターネット）への攻撃リスク」や「ランサムウエア」を挙げた。特にIoTに関しては、日本企業のセキュリティ対策に遅れが見られるという。これに対し、業界内での情報共有やスレットインテリジェンス（脅威情報）の活用を通じてスピーディな対応を実現していくことが必要だとしている。