「CSIRTが機能しない」理由を根本まで探ってみる
近年、セキュリティインシデントに対応する専門チーム「CSIRT(シーサート)」を設立する企業が増えている。しかし、設立したものの運用フェーズで思うように機能せず、人材の確保や育成も進まないまま停滞しているケースが多い。
ANAグループのセキュリティ対応チームとして、2013年にANAシステムズ内に設立された「ASY-CSIRT」。その立ち上げを主導した阿部恭一氏は、日本でも先駆けてこうした課題の解決に尽力してきた人物だ。まず同氏は、「CSIRTとはどのような組織であるべきなのか」という問いから話を始めた。
「CSIRTとは決して特別な組織ではなく、最終的には不要になるべき存在だと私は考えています。セキュリティが品質管理や安全対策の一環として捉えられ、当たり前のように運用部門に統合されていくことが理想です。現在のCSIRTは、その理想に向けた過渡的な存在だと捉えています」(阿部氏)
阿部恭一氏
この理想をかなえるために、まずはCSIRT組織の維持と成長が必要だと阿部氏。その実現に向け重要なポイントとして以下の4つを挙げ、それぞれについて詳しく解説した。
- 自社のセキュリティ業務への正確な理解
- チームの能力育成
- インシデント対応力の強化
- 経営層との連携&必要なリソースの確保
自社のセキュリティ業務、本当に理解できているか?
まずは、自社のセキュリティ業務に対する詳細な理解が不可欠だ。自社にはどんな資産があり、自分たちが守るべきものは何か。どう守るべきなのか。守るためには何が必要で、現状では何が足りないのか。皆さんは、正確に把握できているだろうか。
さっそく、自分たちが所属する組織の資産を棚卸ししてみよう。阿部氏は棚卸しすべき重要項目として、自社の資産とその状態、セキュリティ機器の配置、インシデント対応プロセスの再確認などを挙げた。急速に変化する脅威やテクノロジートレンド、事業環境に対し、果たして現行のプロセスは適切に対応できるのか。今一度、検証することが求められる。
セキュリティ製品の運用においては、「導入して終わりではなく、常に最適化を続けなければならない」と阿部氏。悪意ある攻撃者は、常に新しい抜け道、いわゆる“脆弱性”を見つけ、それを悪用しようとする。加えて、コロナ禍以降の働き方の変化を踏まえたセキュリティ運用ポリシーの策定・更新が重要だと述べた。
こうした取り組みを進めるにあたり、阿部氏は「民民連携」の重要性を訴えた。公的な機関との官民連携だけでなく、民間同士でインシデント対応やベンチマークの情報共有を行うことが、自社のセキュリティ水準向上につながるからだ。
「日本シーサート協議会やISACのような信頼できる民間団体の中で得られる、外部には公開できない貴重な情報が非常に役に立つのです」(阿部氏)
加えて同氏が推奨するのは、「インテリジェンスの活用」だ。地政学的な脅威動向や、他社のインシデントを参考にした考察は、自社のセキュリティ戦略を策定するうえで欠かせない要素となる。参考にする情報として、阿部氏はIPAの『脅威インテリジェンス導入・運用ガイドライン』を例に挙げた。
