CSIRTとはインシデントの対応手順を明確にして、有事の際に初動を早くするチームである。現実には「手順やチームの在り方は百社百様。決まった形はない」─。NCAや7社の担当者、構築支援コンサルタントはこう口をそろえる。サイバー脅威の高まりに対抗するため、1日も早くCSIRTを作りたくても、決まった形が無いために数カ月の準備期間を設ける必要がある。
「まず『何を守るか』を決めるのが先決」。全日本空輸(ANA)グループのCSIRT「ASY-CSIRT」を指揮するANAシステムズ品質・セキュリティ監理室の阿部恭一エグゼクティブマネージャはこう指南する。「一つひとつの企業で何を守りたいかが違うからこそ、CSIRTは百社百様になる」(阿部氏)。
例えばANAでは「国内線・国際線のウェブ予約システムといったウェブサイトの販売チャネルが停止しては困るので、ここに厚く投資してすぐに復旧できるように守っている」(同)。「攻めのIT活用」が注目を集めるが、守りも同様である。
どの程度のコストをかけるのかについて、「ウェブサービスの年間売上高からサービスが1分間止まるといくら損害が出るかを算出し、それを基に議論する」(同)。製造業ではウェブサイトの停止よりも、特許情報の流出の方が経営に与えるダメージは大きく、企業によってかける金額も変わってくるはずだという。
社内外の顔となる
「CSIRTは社内外に向けたシンボルである」。大成建設のCSIRT「T-SIRT」の長である社長室情報企画部の北村達也担当部長はCSIRTの役割を端的にこう表現する。「社内のインシデント情報を全て集め、社外との連携窓口になる」(北村氏)。
同社はインシデントが社内で伝わる速度が遅いことを解消するため、2013年1月にCSIRTを設置。個人情報保護法施行以来、各部署に情報保護の担当者を設置してインシデント情報の早期収集に努めてきたが、「報告するかしないかを現場で判断するケースが見受けられた」(同)。
CSIRT構築時には規定類を見直して、どんな小さなインシデントでもCSIRTに報告するよう、義務付けた。インシデント報告をマイナス評価の対象にしないような社風の醸成も必要だろう。
組織内で「セキュリティ関連情報をCSIRTに集める」ことが周知されればこそ、対外窓口も生きてくる。対外窓口には外部からの通報を受け付ける役割と対外機関との連携を担う役割がある。
特に通報窓口の重要性は高い。サイバー攻撃のうち、狙った組織を執拗に何度も攻撃する「標的型攻撃」は手法が高度化し、侵入された事実に気づきにくくなっているからだ。
侵入開始から発覚まで平均で200日を超え、発覚のきっかけも7割が外部からの指摘であるとする調査もある。NCAの加盟機関のなかには通報窓口を設置したことで、外部からの通報をセキュリティ担当者が認識するまでの期間を60日から1日に縮めたケースがあったという。
百社百様のCSIRTにどんな機能をそろえるべきか。ジェーシービー(JCB)の取り組みが参考になる。2014年5月に「JCB-CSIRT」を設置する際、「経営層の理解を得ているか」「全社で緊急事故対応の態勢があるか」「システムやウェブサイトの資産情報を保有しているか」など7項目を検証。CSIRTでは不足機能を整備していく方針を立てた。
JCBでは以前から経営層がセキュリティに理解を示し、事業内容上、セキュリティの備えのレベルは高かった。それでも検証すると「全社に横串を通すための担当者情報などの基礎情報や手段があるか」などに改善の余地があると分かった。
そこでJCB-CSIRT構築の中心となったJCBシステム本部システム企画部の齋藤弘一次長(システムリスク統括グループ担当)らは連絡網を見直した。「平時だけでなく夜間はどうか、誰をtoに入れ、誰をccに入れるべきかなどを洗い直した。システム部門の委託先だけでなく、利用部門が発注するクラウド事業者まで調べて整理した」という。
