小林:これで,標的型攻撃で狙われても大丈夫なのだろうか…?
山下:そうですね…。考えてみてください。今までわが社は,予測していなかったセキュリティ上のトラブルに遭遇しましたが,どれも上手く対応できたと思うんです。
小林:確かに致命的な事態にはならなかったな。
山下:致命的な事態にならなかったのは,CIOである部長の意思決定が的確で速やかだったことや,ほかの部署との連携がスムースだったことが大きいんじゃないかと思います。
小林:なるほど。そう考えてみると,こういった責任者の意思決定の的確さと迅速さ,さまざまな部署にわたる連携と情報共有の重要性というのは,これまでオレが総務の人間として散々経験してきた災害対策と何も違わないように思えてくる。
山下:確かにインシデントも,いつ起こるかはわからないけれど,確実に起こるという前提で事後対応を事前に考えておかなければいけないという点で,自然災害とまったく同じですね。だから,標的型攻撃にもうまく対応できると考えられないでしょうか。
小林:確かにインシデント対応とは,主に災害対策として語られることの多いBCP(Business Continuity Plan:事業継続計画)であると言っても過言ではないな。
BCPとは,企業が災害や事故などの予期せぬ出来事に際して,限られた資源で最低限の事業活動を継続したり,目標復旧時間内に事業を再開できるようにしたりするために,あらかじめ事前に策定される行動計画である。
小林:しかし標的型攻撃に関しては,単なる災害対策のアナロジーでは済まないような気がするんだ。
山下:どういうことですか?
小林:標的型攻撃を説明してもらった中で,被害を受けた側がその事実を公にすることがないし,メディアも取り上げないので,被害の実態や攻撃手法の詳細が見えず,そのため同じような被害があちこちで発生してしまうとあっただろ?
山下:はい,確かにそう言いました。
小林:だから何とかしてそういった被害の実態を知るすべはないだろうかということなんだ。
山下:なるほど,社外との情報交換,情報共有ができないかということですね。
小林:そういうことだ。
山下:そうなると何らかのコミュニティに参加するのが手っ取り早い方法ですが,そうなると日本シーサート協議会でしょうか…。
小林:日本シーサート協議会?
CSIRT(シーサート/Computer Security Incident Response Team)とは,コンピュータセキュリティに関わる事故,いわゆる「インシデント」に対応するための組織の一般名称である。例えば,米国のCERT/CCや日本のJPCERT/CCはその代表的な組織である。
CSIRTの連合体がある
しかしシーサートは,CERT/CCやJPCERT/CCのような国や地域単位で活動するものばかりではない。各企業や組織内において,自組織内で発生したインシデントに対応する「組織内シーサート(Internal CSIRT)」も存在する。
既に世界には無数のCSIRTが存在し,CSIRT間の情報交換を目的とした連合体として,国際的に活動の輪を広げているFIRST(Forum of Incident Response and Security Teams)が存在する。また,日本国内にも同様の連合体として「日本シーサート協議会」が存在する。
[参考]
(FIRST)
http://www.first.org/
日本シーサート協議会
http://www.nca.gr.jp/
小林:確かにセンシティブな情報を取り扱うわけだから,信頼でき,かつ情報管理がきちんとしている特別なコミュニティが必要だというのはわかるが,そういったコミュニティに入るには,まず社内にCSIRTを作らなくちゃならないんだろ? それは結構骨が折れそうな気がするが…。
山下:CSIRTという「組織」を作るとなるとかなり手間がかかると思うのですが,ウチの場合は既にCSIRTの「機能」は存在していると思うんです。
小林:確かに,これまでも実際に様々なインシデントに対応してきたし,その経験を踏まえた再発防止策も用意できているし,運用も上手く行っている。実質的には今の社内体制でも充分にインシデント対応はできているんだよな…。
