CSIRTが果たすべき「社会的責任」とは：＠ITセキュリティセミナー東京・大阪・福岡ロードショー 2017 レポート（3）（2/4 ページ）

[谷崎朋子, 廣瀬治郎，＠IT]

顧客資産の保護は「社会的責任」、あるべきCSIRTの姿とは――ジャパンネット銀行

ジャパンネット銀行 IT統括部 部付部長 JNB-CSIRTリーダー 二宮賢治氏

　2000年に設立された日本初のインターネット専業銀行、ジャパンネット銀行では、ワンタイムパスワード用のトークンや専用アプリを配布して認証を強化するなど、顧客のセキュリティ強化を図ると同時に、「JNB-CSIRT」を設け、社内のセキュリティ意識の向上やインシデント対応、外部組織との連携に取り組んできた。特別講演「ジャパンネット銀行流のCSIRT運営〜サイバー攻撃対策、人材育成、ログ分析〜」では、同社IT統括部 部付部長 JNB-CSIRTリーダーの二宮賢治氏が、その取り組みを紹介した。

　JNB-CSIRTは、ITガバナンス部門とシステム開発部門の社員を中心に設けられたバーチャルな組織だ。ジャパンネット銀行のセキュリティインシデント管理手続きの中で規定され、社長を委員長とする「リスク管理委員会」の下部組織と位置付けられている。現在のメンバーは、専任・兼任含めて10人だが、人材育成を目的に「若手育成枠」を設けているところに特徴がある。若手育成枠のメンバーには、さらに若手の社員に向けて講習会で講師を担当してもらい、「教える立場になることで、より理解を深めてもらっている」という。

　セキュリティインシデント管理手続きで定められたJNB-CSIRTのミッションは、「お客さまの資産や情報をサイバー攻撃から守ること」。より具体的には、何らかの事案があったときには経営に対し報告を行い、各部署に対処を勧告することに加え、インシデント発生時の情報集約や社内の教育・啓蒙を進める。そして外部と信頼関係を構築し、社会的責任を果たすこともミッションの1つとなっている。

　そのため、金融ISACをはじめ、日本シーサート協議会や警察などの外部組織とも積極的に情報交換を行っている。「中でも金融ISACとの連携はなくてはならないものになっている。共同演習などを行う他、『うちはこんな対策をしているよ』『この不正取引への対策はどうしてる？』といったことをフランクに聞ける場だ。われわれにとっての生命線といっても過言ではない」（二宮氏）。実際に、不正アクセスなどがあると、通信元のIPアドレスなどの情報をこの枠組みを通じて共有し、すぐに対応するフローができているという。

　その他にも、ランサムウェアをはじめとする最新の脅威情報をイントラネットで告知したり、標的型攻撃訓練を実施したり、CSIRT自身の能力向上に向けた演習を行ったりと、JNB-CSIRTの活動内容は幅広い。加えてSOCも自前で立ち上げて運用しており、ログ分析ツール「Splunk」を用いてログ分析を行い、不正アクセスやフィッシングサイトの検知などに活用しているという。これにより、「日々どんなアクセスがあるか、ベースラインを把握することで、異常があったときに素早く気付ける」（同氏）。その結果、例えば犯罪者がフィッシングサイトを作成したときに、アクセスログの特徴からフィッシングサイトのURLを発見し、フィッシングメールがばらまかれる前にテイクダウンすることも可能になっているそうだ。「2016年には、20程度のサイトを悪用前に閉鎖させた」（二宮氏）。

　また、業務を円滑に進めるための工夫として、JNB-CSIRTではスコープと手順を明確に定めている。「入ってくる脆弱性情報については、例えばCVSSのスコアが幾つ以上で、外部からの攻撃が可能かどうか、既に被害が発生しているかどうかといった複数の基準を基に判断し、緊急性を判断するようにしている」（二宮氏）。万一インシデントが発生したり、攻撃予告を受けた際、何を誰に報告するのかという基準も定めているという。

単にソリューションを導入するだけで終わらず「使い倒す」

　他にもジャパンネット銀行では、顧客向けサービス保護と社内システム保護の2方面でセキュリティ対策に取り組んでいる。

　例えば、顧客向けサービス保護に関しては、前述したワンタイムパスワードトークンに加えて、マルウェア検知のための製品や独自スクリプトを導入している他、DDoS攻撃に対してはアカマイとインターネットサービスプロバイダーとで二重の対策を講じている。さらに、そこで得られたWebアクセスのログや業務アプリケーションの取引ログをSplunkに入れて分析し、不正送金対策に役立てるなど、「ただ製品を導入するだけでなく有効に使い倒そうという方針でやっている」（二宮氏）という。

　また、社内システムにおいては、国内で標的型攻撃による情報漏えい事件が複数発生したことを受けてあらためてセキュリティ対策を見直し、内部対策・出口対策の強化を進めてきた。認証強化をはじめ、仮想ブラウザも導入している。さらに、セキュリティ対策をベンダーに丸投げするのではなく、動作や仕組みを理解した上で適切に依頼できるよう、人材の育成も進めているという。

　「セキュリティは非競争領域。セキュリティレベル向上に向けコミュニティー全体で協力しよう」（二宮氏）。