ITシステムの複雑化やサイバー攻撃の多様化に対応するため「CSIRT」の需要が増加しています。しかし「専任のセキュリティ担当者がいない」「運用できるほどの知識を有していない」などCSIRT構築に対してネガティブなイメージを持つ組織が多いことも事実です。
今回は、事前調査から運用までサポートする「CSIRT構築・運用支援サービス」について、富士ソフト株式会社システム事業本部CSIRTチームリーダーの櫻井秀憲氏にお話を伺いました。
この記事の目次
組織的な対応力が必要不可欠な時代
サイバーセキュリティ.com
CSIRTが重視されるようになった背景を聞かせてください。CSIRTの歴史は古いものの、日本では最近急に注目されたように感じます。
櫻井氏
近年、ITシステムの複雑化によりインシデントの発見や原因特定には時間を要するようになりました。またITシステムの汎用化により、世界的に使用されているサービスに脆弱性が判明した場合、導入、利用している全企業にその影響は及んでしまい、インシデント被害が拡大しやすい環境となっています。
攻撃者の目的も以前は攻撃者の自己顕示欲を満たすための攻撃が多い傾向にあったため、経営に影響がある被害は少なく、幼稚なデータ改ざんなどが主なものでしたが、現在は金銭や情報の窃取が主流となっており、ランサムウェアの被害にあった場合、経営活動が停止してしまう事例も多く目にするようになりました。
攻撃手法も高度化し、未知の脆弱性を使用したゼロデイ攻撃も増加傾向にあります。コロナ禍により推進されたテレワークや、DX(デジタルトランスフォーメーション)によるクラウドサービスの活用に伴い、この傾向はより顕著になるものと想定されます。従来であれば、境界型セキュリティと個人や部署による対処で問題ないケースが多かったのですが、組織的な対応が不可欠となっているのです。
このことから企業が主体的にセキュリティ対策に取り組むことが重視され、組織的な対応力と高い専門性をもったCSIRTが必要とされています。
必要なセキュリティ対策を可視化することが第一歩
サイバーセキュリティ.com
事前調査からCSIRTの提供までが一連のサービスとのことですが、そもそも”CSIRTが自社に必要なのか”から検証したいケースもあるかと思います。(調査分析を経て、CSIRT運用費用等を算出してから、CSIRTを構築することを決定したい場合など)CSIRTを構築するとは決定していない企業でも、サービスを受けることは可能ですか?
櫻井氏
CSIRTの構築が決定していないお客様でも、事前調査や分析などの一部サービスのみご提供することも可能です。富士ソフトの「CSIRT構築支援サービス」では、以下のようなプランをご用意しております。
Step1 | 事前調査支援 |
---|---|
Step2 | 現状分析支援 |
Step3 | 構築計画立案支援 |
Step4 | CSIRT構築支援 |
CSIRTを構築されることが決定していない場合、Step1の事前調支援と、Step2の現状分析支援をご利用いただくことをお勧めいたします。CSIRT導入の効果や運用費用を算出されてから、CSIRT構築について改めてご検討いただくことができます。
また、CSIRT構築以外にお客様環境全体におけるセキュリティリスクの有無を分析されたい場合は、当社別サービスのセキュリティアセスメントをご利用いただくことも可能です。お客様を取り巻く様々な脅威から、必要なセキュリティ対策を可視化致します。
サイバーセキュリティ.com
CSIRT構築といっても、ゴールが不明です。インシデントは発生しないほうが望ましい性質のものであるため、「このようなCSIRTなら良い・CSIRT構築支援サービスを導入して良かった」と判断する基準が分かりません。
櫻井氏
セキュリティ技術の進歩と、サイバー攻撃の進化は、いたちごっこと言われております。ゼロデイ攻撃という公表されていない脆弱性や、修正プログラムが提供される前の脆弱性を狙ったサイバー攻撃の出現により以前のような境界型セキュリティでは、インシデント発生を100%回避することは不可能です。このような環境の変化を受け、セキュリティ情報の集中管理と組織的なインシデント対応を実現するCSIRTに注目が集まっています。
しかし、CSIRTはインシデント対応だけでなくインシデント情報の管理、外部組織との情報交換窓口という役割も担っています。情報の集中管理が実現されることで、再発防止策の水平展開や組織全体のセキュリティ意識を向上するための啓もう活動が行可能となり、重大なインシデントが発生していなくても、組織内のセキュリティ品質向上につなげられます。
また、CSIRTとして窓口を作成し、外部組織との信頼関係を構築することにより、サイバー攻撃の傾向や、インシデント対処方法が連携され、有事の際に大いに役立てることができます。近年のサイバー攻撃には、外部組織との連携も非常に重要な対策の一つとなります。
CSIRT構築により、お客様組織のセキュリティ品質向上及び万が一のセキュリティインシデント発生への備えが実現されることで、重大なインシデントが発生しなくとも「導入して良かった」と判断いただけるものと考えます。
組織に合わせた取捨選択が必要
サイバーセキュリティ.com
日本国内においてはCSIRT構築の指南書として、CSIRTマテリアルがあります。CSIRT構築支援サービスはCSIRTマテリアルなどの考え方も取り入れながら支援してくださるサービスなのですか?
櫻井氏
CSIRTマテリアルは、特定の企業や政府機関から独立した中立の組織として、日本におけるセキュリティ対策活動の向上に取り組んでいる社団法人「JPCERT/CC」が組織的なインシデント体制であるCSIRTの構築や運用の支援を目的として作成されたものです。
「構想」「構築」「運用」のフェーズごとに資料化されており、CSIRTの必要性~ITセキュリティへの知見やノウハウまで、CSIRT構築のガイドラインとなる情報が示されていますが、これからCSIRTを構築されようというお客様にとっては、お客様組織に合わせて、必要な要素の取捨選択が必要となり、敷居が高い面もございます。
当社構築支援サービスでは、CSIRTマテリアルの考え方を取り入れた上で、お客様にとって必要な要素をご提案致します。お客様のご検討状況に合わせて、経営層への啓蒙活動から、体制策定、また活動定義を記載するドキュメントの作成~運用など、どのフェーズからでもご提供可能です。
人事評価や資料作成まで幅広くサポート
サイバーセキュリティ.com
CSIRT構築・運用メンバーに対しても、人事評価が必要になります。CSIRTは業務成果が見えにくいかと思いますが、CSIRT構築や運用という業務に対する人事評価軸の作成もサポート可能でしょうか?
櫻井氏
はい。ご要望に合わせて人事評価軸作成のサポートも可能です。
具体的には、ヨーロッパで広く活用されるSIM3、日本セキュリティオペレーション事業者協議会(ISOG-J)が公開する ISOMMなどのCSIRTの成熟度をレベル別に判断できるモデルを活用することで、お客様CSIRTを客観的に評価致します。客観的な評価を定期的に行うことで、お客様CSIRTとしての成果を可視化でき、メンバーの人事評価の材料とすることも可能です。
他にも情報処理安全確保支援士向けの教育など、お客様CSIRTメンバーの成長を支援するサービスをご提供することも可能です。
サイバーセキュリティ.com
CSIRTのために新しく人材を採用することが困難な場合、富士ソフトのエンジニアさんがCSIRTメンバーに加わってくださることは可能ですか?
櫻井氏
運用支援サービスにて弊社セキュリティエンジニアが、お客様CSIRTのメンバーとして参画することも可能です。インシデント事後対応や、水平展開、原因分析、再発防止策の立案など、お客様組織のセキュリティ品質向上のサポートを致します。
当社SOCサービスと併せてご利用いただければ、インシデントの検知から対応まで、トータルでサービスをご提供いたします。
サイバーセキュリティ.com
CSIRT構築を行う上で、社長を始めとして取締役など決済権を持つ方々に対して啓蒙活動が必要なケースが多いと思います。CSIRT構築・運用支援サービスでは決済権を持つ方々への説得・啓蒙という点において、どのようなサポートがありますか?
櫻井氏
構築支援サービスにて、CSIRTの啓蒙資料作成をサポートさせていただきます。お客様のご状況に合わせて啓蒙活動のサポートも可能です。
また、前述した当社セキュリティアセスメントサービスをご利用いただき、必要なセキュリティ対策を可視化いただくと、経営層の皆さまへのよい啓蒙となるかと考えます。
サイバーセキュリティ.com
承認プロセスが複雑な企業もあるかと思います。(スピードが求められるインシデント発生時においてもなお、スムーズな意思決定を下すことが難しい場合など)承認プロセスの変更が難しい場合、このような企業に対して、CSIRT構築・運用支援サービスではどのような提案をされていますか?
櫻井氏
インシデント発生後に、その対応体制をとることはインシデント被害を拡大させる一因となります。承認プロセスの多いお客様こそ、CSIRTの構築が重要となります。
CSIRTを構築し、インシデント対応体制を策定しておくことで、対応の迅速化が可能です。
- インシデント対応の担当者/責任者の明確化
- インシデント対応に必要な技術支援、ノウハウ、関連情報の入手を支援する人/チーム/部署の設置
- インシデント対応に必要なポリシー及びマニュアル等の整備 など
上記のようなポイントに重点をおいたインシデント対応計画の策定を含めたサービスをご提案いたします。
承認プロセスの段階が多かったとしても、CSIRTの運用規定やインシデント発生時の対応フローについて、あらかじめ承認をいただいておくことで、組織的なインシデント対応による迅速化が可能となります。
サービスを利用しセキュリティ品質の向上を実現
サイバーセキュリティ.com
CSIRT構築・運用支援サービスは2021年4月にリリースした新しいサービスとのことですね。実際に導入した企業があれば、その事例を聞かせてください。導入企業がどのような点で問題を抱えていて、その問題をクリアしたCSIRTをどのように構築したのか、具体的なエピソードが聞きたいです。
櫻井氏
国内42拠点、従業員規模約1万2,000名(社員約8,000名、パートナー様約4,000名)、約2万台の自社環境にて先行導入を行い、その実績を元にサービス化を行っております。従来では、インシデント対応関連情報がいくつかの部署に分散しており、部署間の連携に時間を要しておりました。
しかし、CSIRT構築後は、情報の集中管理が実現し、インシデント発生時の対応速度も迅速化が図られ、より組織的な対応が可能になっております。また、情報管理を一元化することで、共有が容易となり、インシデントの再発防止や啓蒙活動など、セキュリティ品質の向上を実現しております。
サイバーセキュリティ.com
最後に、富士ソフトCSIRT構築・運用支援サービスが最も効果的な業種や企業などあれば教えてください。
櫻井氏
業種や事業形態によりCSIRTの在り方が異なるため、その効果も様々ですが、特にコロナ渦のテレワーク推進により、セキュリティ対策に不安を抱えているお客様や、部署ごとにインシデント対応をされており、情報の共有が困難なお客様、CSIRT立ち上げに際し、どこから手を付けてよいかわからないとお考えのお客様には最適です。
以下のようなメリットはもちろんのこと、事前調査~CSIRT運用までトータルで充実したサポートをご提供させていただくことで、セキュリティのお困りごとの解決に貢献いたします。
- インシデントやインシデントの可能性のある事象の検知と、適格な情報伝達
- インシデントレスポンスの実践によるノウハウの蓄積と共有
- インシデントの再発防止を目的としたセキュリティ品質の向上