セキュリティコンサルタントとして金融業や製造業などの「CSIRT」構築支援に携わって、もう10年以上になる。企業や団体にとって欠かせなくなったCSIRTだが、構築や運営のノウハウが広まっているわけではない。本記事では私の経験を基に、CSIRTの構築・運営のポイントをお伝えしていく。読者のヒントになれば幸いだ。

 CSIRTは「コンピュータ・セキュリティ・インシデント・レスポンス・チーム」の略で、不正アクセスや情報漏洩といったセキュリティインシデント(事故)の発生が疑われるときに、対応に当たる。

 10年前、CSIRTという言葉を知っている一般企業は少数派だった。しかし今や、毎週のようにCSIRT構築の問い合わせが舞い込む。それもそのはずだ。「日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)」に加盟する組織数は2007年にわずか6社だったが、2012年には31社に増え、2017年6月1日時点で234 組織と雪だるま式に増えているからだ。

 日本の企業数を考えれば、加盟組織がまだまだ増えるのは間違いない。特に重要インフラと呼ばれる業界では加盟組織が急増するだろう。2020年の東京オリンピック・パラリンピック開催に向けて、国家規模のサイバー攻撃に備えるため、業界内と業界間で協力する仕組みと、その担い手となる会社単位の対応チームが必要だからだ。一方で、経営層にCSIRT設立を指示されたものの、「さてどうしたものか」と考えあぐむ担当者が多いのも事実だろう。

「攻撃は100%防げない」からCSIRTが必要

 現代のサイバー攻撃は非常に狡猾だ。そう耳にした方も多いだろう。新聞やテレビなどを賑わすサイバー攻撃の多くは、下記のようなメールの添付ファイルを開くことによるマルウエア(悪意のあるソフトウエア)感染から始まる。

[画像のクリックで拡大表示]

 どうだろうか。こう書いてあったら開封してしまう人は少なくないのではないだろうか。

 CSIRT設立が求められるようになったのは、サイバー攻撃とその防御に対する認識がガラッと変わったからだ。「サイバー攻撃の第一波、すなわちマルウエアの感染は100%防げない」、だから「手を尽くしても必ず感染するので、感染を前提とした対策に切り替えなければならない」というわけだ。

 100%防げないというのはセキュリティサービスを売ろうとして言うことではなく、事実である。例えば当社は標的型攻撃メールに模した疑似標的型メールを顧客企業に送信して、標的型攻撃メールを見分ける能力を高め、感染時の初動を訓練する、「予防接種サービス」を提供している。かなりわざとらしい擬似メールであっても、開封率が0%ということはまずありまないのだ。そして開封者が1人でもいれば、攻撃者にとっては侵入する足がかりとして十分である。もはや感染防止を前提にした対策は無理があるのだ。