日増しに高まるサイバー攻撃の脅威は経営も脅かし、対策が急務だ。とはいえ、対策現場は予算も人もノウハウも足りないのが実情だろう。今回からリクルートグループのセキュリティ対応チームが、実践的で具体的なセキュリティ事故対応の方法を解説する。
事故前提社会というキーワードがあります。「セキュリティに絶対はなく、事故は起こりうるもの」という前提の下で対策を検討する必要がある、という意味です。このキーワードは2003年に経済産業省が発表した「情報セキュリティ総合政策」の中にも出てくるぐらいで、ずいぶん前から国内で使われていました。
今年6月、日本年金機構から125万件の年金情報の流出が明らかになるなど、ここ数年のインシデント(セキュリティ事故)の多発ぶりを見聞きすると、このキーワードが一気に現実味を帯びてきたと肌で感じています。メディアでも、各種インシデントがセンセーショナルに報道されることも少なくありません。同じように感じていらっしゃる読者のみなさまも多いのではないかと思います。
そこで、この連載ではインシデント対応を中心に、サイバー攻撃への技術的・人的な対応について、なるべく分かりやすく、かつ実践的に解説していきたいと思います。内容については、リクルートグループ各社へのセキュリティ支援のための仮想組織「Recruit-CSIRT」のメンバーが持ち回ります。それぞれの専門性を生かしながら各回を執筆していきます。初回となる今回は、Recruit-CSIRTの代表である鴨志田がCSIRT(シーサート:Computer Security Incident Response Team)の概要について解説します。
足りない「指南書」
インシデントの多発を受けて、CSIRTを構築する企業が急増しています。CSIRTはインシデントに対応するチームを指しますが、詳しくは後ほど解説します。CSIRT同士の連携や情報共有の場を提供するため、国内で設立された「日本シーサート協議会(NCA)」にも、昨今では毎月のように新たな企業が加盟しているようです。
実際に様々な企業のCSIRT関係者と話をすると、チームの立ち上げや人材育成に苦労しているとよく耳にします。CSIRTの構築について参考になる資料はインターネット上にもいろいろと公開されているものの、実務に関する具体的・実践的な解説書が少ないことが、一つの原因なのではないかと思っています。
CSIRTにまつわる具体的な実務をなるべく簡単に解説することで、こうした悩みを抱えている各社のお役に立てればと思ったことが、この連載を担当するきっかけでもありました。
防ぎ切れないサイバー攻撃
冒頭で述べた通り、インシデントは多発していますが、その中でも特に「標的型攻撃」あるいは「APT(Advanced Persistent Threat)」と呼ばれるサイバー攻撃が多くの企業を悩ませています。手口が非常に高度で、かつ特定の企業をしつこく狙ってくるケースも少なからず報告されています。こうした攻撃による侵入を防ぎ切ることは極めて難しく、現実的にはほぼ不可能と言ってよいでしょう。
このため、サイバー攻撃を早期に検知し、被害を最小化することが求められています。すなわち、インシデント対応の重要性が、歴史的に見て最も高まっているのです。
このような背景から、CSIRTを構築する企業が急増しています。NRIセキュアテクノロジーズ(以下NRIセキュア)が2014年8月から10月にかけて、660社にアンケートを取った「企業における情報セキュリティ実態調査2014」によれば、システム部門がCSIRTに類する機能を果たしているという回答を含めるとCSIRTを持つ企業は4割を超えています(グラフ1)。昨年調査では2割程度だったので1年で急増していることが分かります。
今、日本政府が各中央省庁にCSIRTを設置して、人材の確保や育成に力を入れていますし、金融庁も金融機関に対してCSIRTに相当するような緊急対応を担う体制を整備するよう求めています。こうした政府の動きも、企業のCSIRT設立の流れを後押していると言えるでしょう。
CSIRTは必ずしも企業内の正式な部署である必要はありません。複数の部署からメンバーが集まって仮想チームを組織する場合もあります。CSIRTに所属するメンバーも、専任者よりもむしろ兼務者のほうが多いのが実情ではないでしょうか。例えば、システム部門や事業部門、広報部門、法務部門などのメンバーが兼務として所属し、インシデント発生時に対応するCSIRTもあります。
また、インシデント発生時に被害を的確に把握し、原因を特定した上で、適切に被害を最小化するためには、経営層のサポートが欠かせません。有事の際の意思決定、トップダウンによる社内横断的な調整など、経営層のリーダーシップを発揮して、インシデントに立ち向かう姿勢を打ち出す必要があります。
社内においてある程度の強制力を持つCSIRTもありますが、そうでなかったとしても素早く適切にインシデントに対応するためには、経営層の理解と協力を事前に取り付けておくことが欠かせません。ここはポイントです。
対外窓口を開く
CSIRTの役割は、インシデント対応が中心です。それ以外のミッションは各社で異なります。実際、従業員教育や啓発、脆弱性診断などもCSIRTのミッションとして定義している企業も少なくありません。
CSIRTを組織したらその存在を対外的に公開するのが一般的です。具体的には対外窓口のメールアドレスや電話番号をCSIRTのコミュニティで共有したり、日本シーサート協議会に登録して同組織のWebサイトにある会員一覧に掲載したりします。
外部公開の主たる目的は、対外窓口として認識してもらうことです。対外窓口を設置することで、自社サイトに脆弱性を見つけた人や、自社が保有するネットワーク(IPアドレス)からのサイバー攻撃(DoS攻撃の踏み台にされたケースなど)を受けた企業が、CSIRTに対処を依頼できるようになります。
標的型攻撃に遭っていることに自ら気が付ける組織がどんどん少なくなっています。情報処理推進機構によると、攻撃発見のきっかけの大半が外部からの通報だったそうです。今後ますます対外窓口の重要性は高まるでしょう。
他社CSIRTとも連携すべき
CSIRTを外部公開してほかのCSIRTと連携する目的は他にもあります。他社のインシデントや最新のサイバー攻撃などの情報をいち早く収集して、それを対策につなげるためです。この活動を「早期警戒」と呼びます。事故前提社会となっている現在、自社を守る上で欠かすことのできない、非常に大切なCSIRTのミッションです。
自社で情報収集するだけでも、ある程度の早期警戒は可能です。例えばインターネットを活用することで、OSやミドルウエア、各種ソフトの脆弱性や、公的機関が発行するレポートや対策ガイドラインなど、多くの情報を入手できます。
しかし、最近受けたサイバー攻撃や、マルウエアが侵入した後で通信した先のIPアドレスといった「インシデントの舞台裏」など、インターネットには公開されていない情報も少なくありません。こうした“貴重な”非公開情報を入手するためにも、他社CSIRTとの連携が必要となるのです。
早期警戒のために他社CSIRTと連携するカギは、相互の信頼です。自らは情報提供しないが、他社からの情報は欲しいという態度では、残念ながら貴重な非公開情報は得られないでしょう。
日本シーサート協議会だけでなく、「金融ISAC(アイザック)」といった業種別のセキュリティ関連コミュニティなどのチャネルも活用して、常日ごろから他社CSIRTの関係者と顔を合わせ、情報交換を通じて信頼関係を築いていくことが大切です。
インシデント対応要員は自ら育てる
今の日本ではCSIRTだけでなく、セキュリティ人材そのものが全然足りていないというのが現状です。NRIセキュアによれば「人材が不足している」「どちらかと言えば不足している」とした企業の割合はここ3年間、8割を超え続けています(グラフ2)。
今後も国内では、マイナンバー制度の施行や東京オリンピック・パラリンピック開催といった、セキュリティ対策が懸念される大型イベントが控えることから、当分の間は人手不足が続くでしょう。
ただでさえ不足しているセキュリティ人材の中でも、インシデント対応や早期警戒に当たるCSIRT人材が最も不足しています。同じくNRIセキュアの調査によると、企業が最も不足している人材として認識しているのが「脅威情報の収集・伝達や発生したインシデントに対応する人材」でした(グラフ3)。
インシデント対応を担当する人材には、大別して2種類の専門人材が必要です。まずは「インシデントハンドラー」と呼ばれている人材です。インシデントが発生した際に、外部や内部の関係者と協働して、素早く対応することで被害を最小化する専門家を指します。
インシデント対応の経験と、ITやセキュリティに関する基礎知識だけでなく、社内外の利害関係者と調整できるコミュニケーション能力も必要とされます。加えて、経営層とコミュニケーションが取れ、法務や広報などの社内有識者とも協働できる力も必要となります。
こうした多岐にわたる知識と経験が要求されるインシデントハンドラーはまだまだ不足しています。インシデントが発生して初めて外部から調達する(外部委託する)ことは現実的ではないでしょう。セキュリティ企業は有事にインシデントハンドラーを派遣するサービスを提供していますが、インシデントが多発する一方で人材が不足している昨今では、依頼を受けても断らざるを得ないケースが増えているとも聞いています。
かといって、社内でいきなりこうした人材が見つかって確保できることはまずないでしょう。運よく経験のあるスペシャリストを中途採用できればよいのですが、現実的には素質がありそうなメンバーを見つけ、時間がかかっても育成していく必要があるでしょう。素質のある人材とは、ITの基礎知識があり、経営層や事業トップと会話できるような人を指します。
アナリストはIT部門から充当
インシデントが発生した場合、インシデントハンドラーだけでは足りません。そこで必要となるのが、技術的側面から対応し、原因調査や証拠保全などを担うもう一人の専門家です。
マルウエアの検出や解析を行う「マルウエアアナリスト」、システムやネットワーク上に残されている電子的な痕跡を発見・保全する「フォレンジックアナリスト」と呼ばれるような人材がそれです。
こうしたアナリストには高度な技術スキルが求められますが、有事に外部委託する、あるいは簡単なログ分析のような対応であればIT部門の技術者を一時的に対応にアサインすることもできるでしょう。インシデントハンドラーに比べて、人材確保における選択の幅は広いと言えます。
本連載では今後、このようなインデント対応の実務について、実践的・具体的に解説していきます。人材を社内で育成するために少しでもお役に立てれば幸いです。
リクルートテクノロジーズ サイバーセキュリティエンジニアリング部 シニアマネジャー
