「“あのとき”に何が起こり、どう対応したかが伝わっていない。記録もない」──CSIRTに潜む“ある”課題10周年を迎えた日本シーサート協議会が提言

日本シーサート協議会が2017年8月23〜25日にイベント「NCA 10th Anniversary Conference」を開催する。設立から10年を迎える同協議会は、同様にやや長く運用してきたCSIRTに浮上する「ある課題」を投げ掛けた。

» 2017年07月21日 12時00分 公開
[高橋睦美@IT]
photo NCA副運営委員長で、NCA 10th Anniversary Conferenceの実行委員長を務める萩原健太氏

 苦労してゼロから組織を立ち上げた「第1世代」の問題意識や知見が、“ある程度地ならしされた後”に加わってきた後の世代へうまく伝わらない──。多くの組織が抱えるこの問題は、日本でもようやく広がりつつあるCSIRT(Computer Security Incident Response Team)にも共通するようだ。

 日本シーサート協議会(NCA)は、CSIRTに携わる多くの人が一堂に会して情報を交換する場を設け、この「世代間問題」を解決すべく、2017年8月23日から25日に「NCA 10th Anniversary Conference」を都内で開催すると告知した。

 組織内CSIRTは、セキュリティインシデントに対応するためにさまざまな施策を打ち、またいざ問題が発生した際には情報収集や的確な対策、ビジネス観点での被害最小化などの対策に当たる組織だ。NCAは、さまざまな企業や組織でセキュリティインシデント対応に当たるCSIRT担当者が連携し、共通の問題の解決を図れる共通の組織として2007年3月に発足した。入会には既存加盟CSIRTメンバーによる推薦書が求められる。「顔の見える関係」を確保し、信頼を構築していくためだ。

 近年の標的型攻撃による情報漏えい事件や脆弱(ぜいじゃく)性を突いたWebサイト・サービスへの攻撃などが相次いだことを背景に、今、急速にCSIRTに注目が集まっている。特に経済産業省による「サイバーセキュリティ経営ガイドライン」で、CSIRTの整備が具体的に言及された2016年以降、NCAへの加入組織が増加。わずか6組織でスタートしたNCAの加盟チームは、今や236組織に上るという。

 企業を守りつつ、いざというときに迅速な対応、復旧を支援する。このCSIRTを整備する企業が増えたこと自体は歓迎すべきこと。「加盟組織が236に上り、メンバーが3000人を超えるようになった今、なかなか直接顔を合わせて会話できる状況ではなくなってきた。会場を用意するだけでも一苦労」と、NCAの副運営委員長の萩原健太氏もうれしい悲鳴を上げる。NCA 10th Anniversary Conferenceは、NCAが発足から10年を迎えた節目を機に、「顔の見える場を提供し、さまざまな視点からインシデントマネジメントに関わる会員同士の交流の場を設けたい」という思いで開催される。

 萩原氏は、「インシデントが増加し、政府や中央官庁でも整備が進んだ。CSIRTの認知度は上がり、構築までのステップなどもある程度行き渡ったようだ。次の課題は“運用フェーズ”だろう。CSIRTの運用は百社百様だ。しかしCSIRTとして最低限持つべき機能への共通した理解は必要。この基礎を理解してもらうきっかけを感じてもらえるようにしたい」とイベント開催の目的を語った。

「過去のインシデントの記録」も、今後重要な役割を果たす

photo NCA運営委員長の寺田真敏氏

 「十年一昔(じゅうねんひとむかし)」といわれるように、社内組織において10年もたてばメンバーの多くは入れ替わる。この際、メンバーが入れ替わるごとに過去の経験やノウハウがうまく伝わらなくなっていくことがある。

 NCA運営委員長の寺田真敏氏は、2017年5月に発生したWannaCryの騒動と絡めながら、CSIRTにおいてもこの「世代間問題」は当てはまると憂慮した。

 「WannaCryはConfickerなど2000年代のワームのスピード感が再現されたように思う。Conficker騒動を実体験した人は、恐らくはもうマネジメント職やエキスパート、少なくともベテランの域に入る歳になっているだろう。2010年ごろからセキュリティ施策は標的型攻撃や情報漏えいへの対策に焦点が当たるようになった。しかし、振り返ると“あのとき”に何が起こり、みんながどんな風に対応したかが伝わっておらず、それを振り返ろうにも、そもそも記録がなかったりはしないだろうか。技術だけでも演習だけでもなく、“あの感覚”をいかに次の世代へ伝えていくかも今後の大きな課題だと考えている」(寺田氏)

 そして、単なる思い出話に終わらせず、今後のリスクを考えるための材料として、「過去のインシデントの記録も今後、重要な役割を果たす」と提言した。

 2017年8月23〜25日に行われるNCA 10th Anniversary Conferenceでは、「10年先を見据えて(仮)」と題されたセッションをはじめ、CSIRTの連携や情報共有、CSIRTにおける働き方改革などをテーマとしたパネルディスカッションやセキュリティ専門家による複数の講演が行われる。スポンサー企業によるトレーニングや、参加者がどんなソリューションを使っているかを生で伝える「セキュリティ対策状況ボード」といった企画も用意されるという。

 最終日の2017年8月25日はNCA会員のみが参加できるが、それ以外の2日間は一般参加が可能だ。2017年7月18日から専用サイトで一般申し込みの受け付けを開始している。参加費は2万円となる。

 NCAでは他にも、名古屋や大阪、九州といった地域の教育機関や自治体などと連携して地区活動を展開し、自力でのCSIRT構築が困難な中小企業も視野に入れた活動を展開していく。また2018年3月には、国際的なCSIRTのコミュニティーであるFIRST(Forum of Incident Response and Security Teams)が技術会合を日本で開催する予定だ。こうした場を活用し、寺田氏は「リージョナルなCSIRTコミュニティーとしてのNCAの活動を、グローバルなコミュニティーともリンクさせていきたい」と抱負を語った。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。