今回から5回にわたって日本の企業や団体におけるサイバーセキュリティの現状のまずさと、そこからの脱却方法を解説する。一言でいえば日本のサイバーセキュリティのレベルは底上げが必要だ。対策が行き届いていない組織も多く、売り手の無責任さも目に余る。

 筆者は米シマンテックの日本法人で顧客のセキュリティ状態の監視サービスを統括しているが、今回は会社を離れて一人のセキュリティ技術者として危機感を持っていることや疑問に思っていること、会社の垣根を越えたセキュリティ技術者同士で「これはおかしい」と話題にしていることなどをベースにしたい。今ほどサイバーセキュリティが注目されている時はない。この特集が正しい危機感と正しい対策を講じていただくきっかけになれば嬉しい。

見渡せば「時代遅れ」ばかり

 第1回と第2回では、「セキュリティオペレーション」を取り上げる。セキュリティオペレーションとは、組織のセキュリティを適切な状態に維持するための一連の活動を指す。セキュリティオペレーションはCSIRT(シーサート:Computer Security Incident Response Team)と呼ばれる組織が担っている。筆者の耳に届く数々の相談などから、セキュリティオペレーションやCSIRTを取り巻く現状は、次のようなものではないだろうか。

 ――あるセキュリティ管理者はある日、上司からこう指示を受けた。「昨今の標的型攻撃に備えて自社のセキュリティ対策が万全であるか確認してほしい」。管理者は対策が万全ではないと感じていたため、新たな対策を検討し始める。

 そんな折、CSIRTなる言葉が昨今の標的型攻撃によって再浮上し、セキュリティ業界は「セキュリティを考える上でCSIRT構築は必須」と喧伝しだした。管理者はどこから検討と対策に着手すべきかよく分からず、「よく耳にするようになったから」という理由で、一応CSIRTだけは立ち上げてみようかという流れで落ち着いた。

 しかし、立ち上げたはいいが、何から始めたらいいのか分からないため、「脅威を見つけるための監視」から始める。そして、セキュリティ会社に監視についてのアドバイスやサービスの紹介を受ける。こうして、監視を担うための「SOC(ソック:Security Operation Center)」を立ち上げる、またはサービスを契約する――。

 進め方として、「自社の現状がどのような状態にあるのか確認するために監視から始める」ことは間違っていないのだが、現代の組織に求められるセキュリティオペレーションを包括的には満たせていない。その結果、「SOCを使っているから」と安心していても、標的型攻撃などの新しいサイバー攻撃から組織を守れない。この認識のずれはやばい。

 新たな脅威に対抗できる「次世代のセキュリティオペレーション」に求められるのは、「収集」「防御」「監視」「回復」「演習」という五つを作業で、かつ、この5軸をPDCAサイクルの下で常に見直すことである(図1)。SOCを設けたり他社が提供するサービスを選んだりする際は、この「次世代型」を前提に運用することが欠かせない。有事の際は利用者が司令塔になる。少なくともCSIRTのリーダーとなる人は五つの軸について、知識だけでも提供側と同じレベルに立つ必要がある。

図1●次世代のセキュリティオペレーションに求められる5軸
図1●次世代のセキュリティオペレーションに求められる5軸
[画像のクリックで拡大表示]

 第1回と第2回ではこの5軸について、順に作業内容や目的を解説していく。その上でセキュリティ会社に支援を求めるべきか、自社で運用するべきかをCSIRTが主体となって検討いただきたい。