「最近のインシデントでは、企業は被害を被るだけでなく、踏み台などとして利用され加害者にもなり得る。そうならないために、最低限何をすべきか」──。東京・目黒で開催された「第1回 情報セキュリティマネジメントSummit」の基調講演に、ANAシステムズ 品質・セキュリティ監理室でANAグループ情報セキュリティセンター ASY-CSIRTの阿部 恭一エグゼクティブマネージャーが登壇した。
阿部氏は、日本シーサート協議会でさまざまなWG(ワーキンググループ)で活動し、CSIRTについての著書もある。まず、企業のセキュリティ組織として平時・有事に対応に当たる「CSIRT(Computer Security Incident Response Team)」の役割について言及した。「フルスペックで考えると、企業や団体が組織しておくべきCSIRTの役割は幅広い」(阿部氏)という。
目指すべきは「自衛消防隊」
CSIRTの役割として具体的には、社外と情報連携をする「社外PoC(Point of Contact)」、社内の各部門と調整をする「社内PoC」、コンプライアンスを担う「リーガルアドバイザー」、各部署との連絡ハブや情報発信元となる「ノーティフィケーション担当」、インシデントの情報収集・分析をする「リサーチャー」、「脆弱性診断士」、「リスクアセスメント担当」、CSIRT全体を統括する「コマンダー」などだ。
「小規模のCSIRTにはセキュリティの専門家がいないこともあり、これら全ての担当を置くのは難しい。それでは、一体どこまでやればいいのか」(阿部氏)。
阿部氏は、「一般企業のCSIRTは、自衛消防隊レベルをまずは目指そう」と助言する。「かなりのインシデントを防ぐことができるはず。ぼやは自分たちで消火する。本格的な“火災”には手を出さず、専門家に任せるべきだ」。
社外PoCや社内PoCは消防でいうと、防災センターへの連絡、被害状況の連絡などを担うことになる。ノーティフィケーション担当は、火災発生時の避難誘導や避難者の人数確認などを行う。脆弱性診断士は、転倒や落下防止措置を点検する役割となる。
このように防災に置き換えて考えると、「自衛消防隊」がどこまでやるべきかが見えてくるという。「脆弱性診断士やフォレンジック担当、リサーチャーなどは、アウトソースしてもよい。自社でやってもよいが、社内で求めるスキルやキャリアパス、企業規模なども考慮した判断となるだろう」(阿部氏)。