CSIRTをめぐる5つの誤解:うまく運用できないCSIRTを作らないために(6/6 ページ)
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。
誤解5:最初から完璧なものでなければならない
CSIRTの知名度が上がる中、CSIRTを作ればそれだけでセキュリティ問題が全て解決するとの幻想を経営層が抱いてしまい、逆にCSIRTが作りにくくなっているという非常に残念なケースがあります。また、ここまで「ファンタジー」の世界に行ってしまってはいないものの、「最初から完璧なCSIRTを作らねば」と気負うあまりに、結局何もできないまま力尽きてしまうケースもあります。
例えば、セキュリティに携わる人は往々にして「生真面目」な人が多いせいか、CSIRTを構築する際にも国内外のさまざまな資料を熟読し、それらを教科書として厳密に従おうとするあまり、自社の体制を無理矢理「教科書」に当てはめようとこねくり回したために社内から強い反発を受けて構築に至れないケースがあります。また、最初から国内外の全ての事業部(や拠点)を対象にしようとしたものの、事業部ごとの「(歴史的背景に基づく)違い」を吸収できず、調整に手間取ってなかなか前に進めないケースなど、「完璧を目指し過ぎて上手くいかない」事例は珍しくありません。
「セキュリティ対応体制」というものを検討するに当たっては、その性質上、完璧なものを目指そうとする気持ちは理解できるのですが、CSIRTが事故前提の考えに基づくものであることからも明らかなように、そもそもセキュリティに完璧など存在しないということを思い出してほしいのです。
多くの「成功している」CSIRTは、構築に当たって既存の体制を大きく変えていないという共通点が見られます。過去の成功例から分かることは、まず既存のセキュリティ対応体制がどうなっているかを調査分析し、その上で足りない機能をCSIRTの形で付け加えるイメージで構築するのが成功への近道だということです。
そもそもCSIRTは、形式的に見て「美しく理想的」に作られていても、社内外から信頼されず、協力を得られなければ、何の役にも立ちません。CSIRTとは「使えてなんぼ」のものであり、「使えない」CSIRTに意味はないのです。
つまり、CSIRTは「使える」ことを最優先に構築すべきものであり、そのためにはまず「できるところ」から始め、実績を積む中で徐々に対象範囲やサービス内容を広げていくことが重要です。中でも、海外の拠点をも巻き込む場合、特に現地で雇用したスタッフを多く抱えているような場合は、文化の違いを充分に理解した上で丁寧に調整しなければ決して上手くはいきません。まずは国内から始め、その実績を踏まえて海外にも展開していくのが現実的な筋道でしょう。
CSIRTを構築するということに対して、ハードルの高さを感じている方も少なくないと思います。それでも、まずは気負わずに、そして形式にこだわることなく、あくまでも現実的に「できること」から始めてみてください。CSIRTの構築に際しては、とにかく「始める」ことが大事なのです。
最後に
この数年来、CSIRTについて相談されることが増えてきているのですが、実際に詳しく話を伺うと、既に十分にCSIRTと呼べるレベルの体制が整備されているケースは少なくありません。では、いわゆる「セキュリティ対応体制」とCSIRTの違いは何なのでしょうか?
それは対外的な活動の有無にあります。
CSIRTはセキュリティに関する情報交換をする枠組みとして既に国際的にスタンダードとなっており、「CSIRTであること」とは即ち、他のCSIRTと信頼関係を結んで情報交換ができることを意味します。少々乱暴ないい方をすれば、CSIRTを名乗り、CSIRTのコミュニティに加わり、「信頼」に基づいて他のCSIRTと情報交換する、これができればCSIRTなのです。
CSIRTの構築を検討または推進されている方々に本稿が少しでもお役に立てば幸いです。
山賀正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行っている。JPCERT/CC専門委員。日本シーサート協議会専門委員。明治大学客員研究員。
Copyright © ITmedia, Inc. All Rights Reserved.