真に機能するCSIRTに必要なポイント、平時からできる備えとは？日本シーサート協議会 理事長が語る

“脅威”は防御側からは消せない、ではどう“脆弱性”を潰すか？

　はじめに、情報セキュリティの定義とインシデントという事象の意味について振り返っておこう。北村氏は、「情報セキュリティとは『情報の機密性、完全性、可用性を維持すること』である」というJISQ 27000の定義を引用した。それを端的に言い表すと、「情報を守ること」という表現になる。逆に言えば、情報セキュリティが損なわれるということは、機密性、完全性、可用性が損なわれることを意味する。

　それらを損なうような事故、いわゆるインシデントが発生するのは、“脅威”と“脆弱性”が結びついた時だ。だが、脅威は防御側にはコントロールできないことを押さえておく必要がある。「地震や台風といった災害を止めることができないように、サイバー攻撃そのものの発生を防ぐことはできない。つまり、我々ができることは『脆弱性を小さくすること』である」と、北村氏は対策を計画する際の根幹となる考え方を説明する。

一般社団法人日本シーサート協議会 理事長／
SBテクノロジー株式会社 プリンシパルアドバイザー
北村 達也氏
大手ゼネコン企業に長らく従事（社長室情報企画部、横浜支店管理部等）し、IT戦略策定とその実施、働き方改革、セキュリティ関連規程の策定、インフラ整備など幅広く担当。
2020年1月よりSBテクノロジーにジョインし、セキュリティ事業や建設業への営業活動に対する支援、アドバイザーを務める。また、セキュリティ事故対応チーム（SBT-CSIRT）の一員としてセキュリティの維持・改善を行う。
2022年6月、一般社団法人日本シーサート協議会（通称 NCA）の理事長に就任、国内のCSIRT活動の推進に務めている。

　無論、脅威を止めることはできなくても、どのような脅威があるかは知っておかなければならない。北村氏は、IPA（情報処理推進機構）が毎年発表する『情報セキュリティ10大脅威』から、最近の脅威動向を紹介した。2025年版での1位は、「ランサムウェア攻撃による被害」だ。5年連続でトップの座を占めている。続いて、「サプライチェーンや委託先を狙った攻撃」「システムの脆弱性を突いた攻撃」「内部不正による情報漏洩」が上位にランクインしている状況だ。

　1位のランサムウェア攻撃は何年も前から顕在化している脅威だが、その手法は年々進化している。最近では、従来のようにファイルを暗号化するだけでなく、事前に機密情報を盗み出し、身代金を払わなければ情報を暴露するという「二重脅迫」の手法が主流だ。また、攻撃者に技術的知識がなくても利用できる「RaaS（Ransomware as a Service）」の普及により、攻撃の敷居が大幅に下がっている。

　なお、ランサムウェア攻撃の主な流れとは「不正侵入→端末乗っ取り→内部探索／横展開（ラテラルムーブメント）→データ窃取→データ暗号化と脅迫状の表示」であるが、これは2015年5月に発生した日本年金機構の攻撃被害を見るのがわかりやすいと北村氏。「日本年金機構の事件（※）を教訓にして対策を立てていけば、おおよそのランサムウェア攻撃被害は防ぐことができるだろう」と語る。