IBMは自社のCSIRTをどう運営しているのか？セキュリティ責任者、我妻三佳氏に聞く

更新日: 2017/11/10
公開日: 2015/03/10

通知

　国内でもCSIRT(シーサート：Computer Security Incident Response Team)を設置する動きが広がってきた。日本シーサート協議会の会員は2015年1月時点で71チーム。2007年3月に6チームを発起人として発足してから10倍超に増えた。背景にあるのは、近年のサイバー攻撃に対する意識の高まりだ。インシデント(事故)対応の成否がビジネスに多大な影響を与えるようになり、専門チームの存在が重要になってきた。CSIRT運営の課題やポイントは何か。日本IBMで情報セキュリティ関連ビジネスを統括し、日本IBM社内の最高情報セキュリティ責任者（CISO）を補佐する立場でもある我妻三佳氏に聞いた。

通知

IBMでは、地域8時間シフトで世界中のインシデントに対応

日本IBM　GTS事業 ITSデリバリー　セキュリティー＆ネットワーク・サービス　理事　我妻三佳氏 — ▲日本IBM　GTS事業 ITSデリバリー　
セキュリティー＆ネットワーク・サービス
理事　我妻三佳氏

　IBMは、100名規模の専任チームで構成されるグローバルな統一組織であるCSIRTを2011年に設立した。北米、ヨーロッパ、アジア・パシフィックという3地域(ジオ)に分かれ、それぞれ8時間シフトで全世界で発生するセキュリティインシデントに対応する体制だ。日本は、アジア・パシフィックに含まれ、数名が所属する。日本IBMの社内セキュリティを長く推進し、グローバルなCSIRTの設立に携わった我妻三佳氏(GTS事業 ITSデリバリーセキュリティー＆ネットワーク・サービス)は、日々の活動について、次のように説明する。

　「グローバルで必ずどこかのジオが対応できる仕組みです。たとえば、日本時間の朝9時〜夕方5時までが担当だとすると、前のジオの担当者から9時に仕事を引き継いで、夕方5時に、次のジオの担当者に引き継ぎます。セキュリティインシデントは社内の情報共有のためのデータベースに集約されているので、ジオの担当者はそれを見ながらWeb会議やチャットを使って仕事を引き継ぎ、対応していきます。対応は基本的にジオごとです。韓国で起こったネットワーク侵害の対応に日本から人を派遣するといったこともあります」

　ここで言うセキュリティインシデントとは、一般的なウイルスチェックをすり抜けるマルウェアを検出した場合や、外部のC＆Cサーバとの不審な通信、外部からのネットワーク侵害、原因が特定できないパフォーマンス低下や障害の発生などを指している。ウイルス対策ソフトやIPS(不正侵入防止システム)などのネットワーク対策ツールなどで対応できないものを中心にインシデントとして登録し、それらにグローバルの統一組織が手分けして対応する。たとえば、マルウェアの感染源となったユーザーを特定し、脅威を取り除き、再発防止のための対策を打っていく。

　IBMは、セキュリティ製品やSOC(セキュリティオペレーションセンター)サービスを扱うベンダーだ。CSIRTは、セキュリティ製品開発チームや運用チームとは別の独立した組織であり、障害やインシデントの切り分けで彼らと協働しつつ、主にその後の対応を担う専門チームという位置付けになる。

　「最近増えているインシデントは、マルウェアやC＆Cサーバとの通信を検出するというケースです。どの企業もそうだとは思いますが、被害が拡大しないように水際で止めたこともあり、脅威の質が変わってきています。ひとつ間違えると何十億、何百億という被害に達します。そうしたリスクをどう前向きに捉え、投資するかが今後のセキュリティ対策のポイントです」(同氏)

セキュリティを"投資対効果理論"で考えることはもはや過去のもの

　リスクを前向きにとらえることは、CSIRT設立の意義でもある。CSIRTは、起こったインシデントに緊急対応するだけではなく、インシデントの被害を最小化できるようプロアクティブに対応できるようにするという役割も求められる。IBMがグローバルレベルでのCSIRTを設立したのも、リスクに対するそうした意識からだったという。

　「CSIRTを作るというトップマネジメントの意思決定がまず先にあり、日本からも参加してほしいと要請されました。最初はアメリカで組織が立ち上がり、1年もしないうちに世界に広がりました。急速な立ち上げでした。専任のチームですから、人件費だけでも大きな額です。かなりの投資判断が必要で、それだけ重要性を認識していたのだと思います」(我妻氏)

　IBMにはもともと、セキュリティインシデントの報告が上がってくる仕組みはあった。たとえば、日本法人では、我妻氏が中心になって2007年に「セキュリティ推進室」を設置し、Winnyなどによる情報漏洩対策やセキュリティ教育などにあたってきた。2008年には日本法人として日本シーサート協議会のメンバーになっている。各国ごとのインシデントの発生数はグローバルレベルでとりまとめられていた。ただ、最近のサイバー攻撃をはじめとするインターネットの脅威には、こうした仕組みでは対応できないほどになっていた。

　一方で、IBMでは10年ほど前から、組織改革「Global Integrated Enterprise」に取り組んできた。リソースをグローバルで最適化する取り組みで、マネジメントもグローバルで統一した。たとえば、社内ITについては、グローバルでひとりのCIOが責任を持つ。セキュリティについては、CIOの下につくCISOが責任をもつ。各国の状況に応じてローカルのCIOやCISOが置かれるが、あくまで基本は「グローバルワン」だ。これは、特定の部門やチームにもあてはまる。インフラ運用チームはグローバルで1つで、日本国外から提供されている。CSIRTも、CISOが直轄するグローバル組織となっている。こうした流れのなかで、CSIRTの必要性が認識され、グローバルでの一斉立ち上げにつながったという。

　「セキュリティを"投資対効果理論"で考えてしまっていたら、取り組みはほとんど進まなかったでしょう。効果がわかりにくいものに投資するという判断はしにくいからです。とはいえ、お客様の話を伺っていると、最近はそうした判断をするマネジメントはほとんどいません。何をやるべきか、どこまでやるべきかという議論に移ってきています。実際、CSIRT設立には、何がいくら必要か、という相談を数多くいただくようになりました」(我妻氏)

次のページ
CSIRT設立の第一の課題は「人の確保」

この記事は参考になりましたか？

印刷用を表示

ニッポンのシーサート連載記事一覧: なぜジャパンネット銀行はセキュリティ対策ノウハウを惜しみなく披露するのか？

他社との交流機会を最大限活用―ヤマハ発動機のCSIRT創設メンバーに聞く、組織内CSIRT...

日本企業がCSIRTを構築するには？ CEO/CISO目線で見たCSIRT構築で必要な勘所

もっと読む

この記事の著者: 齋藤公二（サイトウコウジ）

インサイト合同会社「月刊Computerwold」「CIO Magazine」（IDGジャパン）の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事