「“あのとき”に何が起こり、どう対応したかが伝わっていない。記録もない」──CSIRTに潜む“ある”課題:10周年を迎えた日本シーサート協議会が提言
日本シーサート協議会が2017年8月23〜25日にイベント「NCA 10th Anniversary Conference」を開催する。設立から10年を迎える同協議会は、同様にやや長く運用してきたCSIRTに浮上する「ある課題」を投げ掛けた。
苦労してゼロから組織を立ち上げた「第1世代」の問題意識や知見が、“ある程度地ならしされた後”に加わってきた後の世代へうまく伝わらない──。多くの組織が抱えるこの問題は、日本でもようやく広がりつつあるCSIRT(Computer Security Incident Response Team)にも共通するようだ。
日本シーサート協議会(NCA)は、CSIRTに携わる多くの人が一堂に会して情報を交換する場を設け、この「世代間問題」を解決すべく、2017年8月23日から25日に「NCA 10th Anniversary Conference」を都内で開催すると告知した。
組織内CSIRTは、セキュリティインシデントに対応するためにさまざまな施策を打ち、またいざ問題が発生した際には情報収集や的確な対策、ビジネス観点での被害最小化などの対策に当たる組織だ。NCAは、さまざまな企業や組織でセキュリティインシデント対応に当たるCSIRT担当者が連携し、共通の問題の解決を図れる共通の組織として2007年3月に発足した。入会には既存加盟CSIRTメンバーによる推薦書が求められる。「顔の見える関係」を確保し、信頼を構築していくためだ。
近年の標的型攻撃による情報漏えい事件や脆弱(ぜいじゃく)性を突いたWebサイト・サービスへの攻撃などが相次いだことを背景に、今、急速にCSIRTに注目が集まっている。特に経済産業省による「サイバーセキュリティ経営ガイドライン」で、CSIRTの整備が具体的に言及された2016年以降、NCAへの加入組織が増加。わずか6組織でスタートしたNCAの加盟チームは、今や236組織に上るという。
企業を守りつつ、いざというときに迅速な対応、復旧を支援する。このCSIRTを整備する企業が増えたこと自体は歓迎すべきこと。「加盟組織が236に上り、メンバーが3000人を超えるようになった今、なかなか直接顔を合わせて会話できる状況ではなくなってきた。会場を用意するだけでも一苦労」と、NCAの副運営委員長の萩原健太氏もうれしい悲鳴を上げる。NCA 10th Anniversary Conferenceは、NCAが発足から10年を迎えた節目を機に、「顔の見える場を提供し、さまざまな視点からインシデントマネジメントに関わる会員同士の交流の場を設けたい」という思いで開催される。
萩原氏は、「インシデントが増加し、政府や中央官庁でも整備が進んだ。CSIRTの認知度は上がり、構築までのステップなどもある程度行き渡ったようだ。次の課題は“運用フェーズ”だろう。CSIRTの運用は百社百様だ。しかしCSIRTとして最低限持つべき機能への共通した理解は必要。この基礎を理解してもらうきっかけを感じてもらえるようにしたい」とイベント開催の目的を語った。
「過去のインシデントの記録」も、今後重要な役割を果たす
「十年一昔(じゅうねんひとむかし)」といわれるように、社内組織において10年もたてばメンバーの多くは入れ替わる。この際、メンバーが入れ替わるごとに過去の経験やノウハウがうまく伝わらなくなっていくことがある。
NCA運営委員長の寺田真敏氏は、2017年5月に発生したWannaCryの騒動と絡めながら、CSIRTにおいてもこの「世代間問題」は当てはまると憂慮した。
「WannaCryはConfickerなど2000年代のワームのスピード感が再現されたように思う。Conficker騒動を実体験した人は、恐らくはもうマネジメント職やエキスパート、少なくともベテランの域に入る歳になっているだろう。2010年ごろからセキュリティ施策は標的型攻撃や情報漏えいへの対策に焦点が当たるようになった。しかし、振り返ると“あのとき”に何が起こり、みんながどんな風に対応したかが伝わっておらず、それを振り返ろうにも、そもそも記録がなかったりはしないだろうか。技術だけでも演習だけでもなく、“あの感覚”をいかに次の世代へ伝えていくかも今後の大きな課題だと考えている」(寺田氏)
そして、単なる思い出話に終わらせず、今後のリスクを考えるための材料として、「過去のインシデントの記録も今後、重要な役割を果たす」と提言した。
2017年8月23〜25日に行われるNCA 10th Anniversary Conferenceでは、「10年先を見据えて(仮)」と題されたセッションをはじめ、CSIRTの連携や情報共有、CSIRTにおける働き方改革などをテーマとしたパネルディスカッションやセキュリティ専門家による複数の講演が行われる。スポンサー企業によるトレーニングや、参加者がどんなソリューションを使っているかを生で伝える「セキュリティ対策状況ボード」といった企画も用意されるという。
最終日の2017年8月25日はNCA会員のみが参加できるが、それ以外の2日間は一般参加が可能だ。2017年7月18日から専用サイトで一般申し込みの受け付けを開始している。参加費は2万円となる。
NCAでは他にも、名古屋や大阪、九州といった地域の教育機関や自治体などと連携して地区活動を展開し、自力でのCSIRT構築が困難な中小企業も視野に入れた活動を展開していく。また2018年3月には、国際的なCSIRTのコミュニティーであるFIRST(Forum of Incident Response and Security Teams)が技術会合を日本で開催する予定だ。こうした場を活用し、寺田氏は「リージョナルなCSIRTコミュニティーとしてのNCAの活動を、グローバルなコミュニティーともリンクさせていきたい」と抱負を語った。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- WannaCry騒動、Struts 2脆弱性、リオ五輪、そのとき「彼ら」は何をしていたのか
サイバーセキュリティの重要性が増すにつれ、ネット上ではさまざまな脅威や脆弱性の情報があふれんばかりに増え続けている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか。 - 高度なサイバー攻撃も「備えあれば憂いなし」、JPCERT/CCが対策ガイド公開
JPCERTコーディネーションセンターが、企業や組織が高度な標的型攻撃を受けても、慌てずに対応できるよう支援する対策文書を公開した。 - 「貴組織にマルウエアに感染したホストがあるようです」とメールを受け取ったら?
日本ネットワークセキュリティ協会(JNSA)が2015年6月25日に行った「緊急時事ワークショップ〜他人事ではない、サイバー攻撃を受けた組織の選択肢」と題するパネルディスカッションでは、水際でマルウエア感染を防ぐことだけに専念するのではなく、事後の対応にも目を配る必要があるという前提で、必要な取り組みが議論された。 - CSIRTをめぐる5つの誤解
サイバー攻撃の複雑化、巧妙化にともなって、「インシデントは起きるものである」という事故前提の考えに基づいた対応体制、すなわちCSIRT(Computer Security Incident Response Team)への注目が高まっています。一方でさまざまな「誤解」も生まれているようです。この記事ではCSIRT構築の一助となるよう、よくある5つの誤解を解いていきます。 - 「100年前から情報セキュリティ」――凸版印刷に見る大規模企業の対策と現実
サイバー空間の脅威から自社を守るために、情報システム担当者はセキュリティ対策の在り方を常に考える必要がある。本連載ではJPCERTコーディネーションセンターの情報セキュリティアナリスト、瀬古敏智氏が企業の情報セキュリティ対策事例を取材。エキスパートの視点から取り組みのポイントを分かりやすく解説する。