設立から10年以上を経て、CSIRTに求められる能力にも変化が
2013年に設立されたASY-CSIRT。数年前までは、メンバーやスキルの最適な配置に注目し、どのような体制でインシデントレスポンスを進めるかに注力してきた。しかし今では、組織の整備が進み状況が変わってきたという。
ASY-CSIRTの発起人である阿部氏は、「はじめはチーム全体でインシデントの事前対応能力を磨き、次に事後対応がある程度できるまでに組織が成熟しました。そして現在は、再び事前対応に注力しています。なぜなら、ここ数年でサイバー攻撃の手法が大きく変化してきたからです。加えて、特段大きなインシデントも発生していないため、ASY-CSIRTの業務の大半は予防対策に充てられています」と話す。
阿部恭一氏
攻撃手法の変化として、以前は企業を直接狙った攻撃が多かったが、今は個人をターゲットにした攻撃が増えていると阿部氏。企業の強固なセキュリティを破るよりも、社員一人ひとりの脆弱性を突くほうがずっと手軽で成功確率も高いからだ。実際、フィッシング攻撃やクラウドの設定ミスなどが原因で侵入されるケースが増えている。こうした変化に対応するために、ASY-CSIRTでは対策の見直しが図られているのである。
攻撃手法の変化に伴い、企業やCSIRTなど防御側のスキル、ナレッジも進化させなければならない。まずは非IT部門の従業員に至るまで全社的なリテラシーを底上げし、脆弱性が残っていないかどうか、セキュリティの基本である資産管理を徹底することが重要となる。従業員に対する訓練も大切だ。そのために、経営層や他部門など周囲の理解を得る必要もある。
「CSIRTだけでなく、その周りの関連部署、たとえば総務やリスク管理、法務など、実際にインシデントが起こったら動かなければならない部署の方々にも、体験してもらうことが大切です。訓練でシミュレーションを行うことで、実体験に近いものが得られます。これにより、たとえば『ランサムウェア攻撃とはどのようなものか』などの認識を組織全体で共有でき、いざというときに迅速に対応できます」(阿部氏)
他部署も巻き込んだ訓練を行うことで、CSIRTのメンバーにとっても、実践の際に周りの人がどう動くのかを知ることができる。自分たちの動きも再確認できるはずだ。ところがCSIRTだけの活動にとどまってしまうと、他の社員が何をすべきか、何をするのかがわからず、実際のインシデント時にコミュニケーションや連携がとれなくなってしまう。こうした不安材料を増やさないためにも、情報共有の仕組みはしっかりと確立しておきたい。
