2017/12/21
待ったなし!サイバー攻撃対応の手法

絶え間ないサイバー攻撃に対応するために重要な、企業や組織におけるCSIRT(Computer Security Incident Response Team)の結成。サイバー攻撃への準備、インシデント後の対応にあたる。しかし重要性はわかっていてもなかなか立ち上げられない、立ち上げた後の運用に悩むことも多い。結成と運用の注意点について日本シーサート協議会の事務局を担当し、日本シーサート協議会の運営委員でもある一般社団法人 JPCERTコーディネーションセンター・エンタープライズサポートチームリーダーの山本健太郎氏に話を聞いた。
消防署に例えられる役割
「サイバー攻撃を100%防ぐのは難しいため、CSIRTを結成することは重要な対策となる」と山本氏。その役割は消防署に近いという。「インシデントは消防でいえば火事や事故。様々なインシデントに対して予め優先度や対策を決めておき、いざと言う時に復旧や関係者への連絡等を行うのがCSIRTの役割」と重要性を説明する。
まず結成にあたってのポイントとしては、現状と問題の把握。自組織がどのような脅威にさらされ、何を守るかということの整理だという。「金融機関であれば不正送金やフィッシングといった脅威があり、重要インフラ事業者であれば制御システムなども守る必要がある、ECサイト事業者なら半日間ウェブサイトが落ちたりしたら億単位の被害も考えられる。それぞれ想定される脅威と対策を認識することからCSIRTの活動は始まる」と山本氏は説明。インシデント後の対応だけでなく、脅威を想定しセキュリティを強化するための事前対策、啓発活動も重要といえる。
現状と問題の把握でポイントとなるのは(1)サービス対象(2)ミッション(3)インシデントの定義。CSIRTが対応する相手は社内のみなのか、社外にも関係者がいるのか、また、CSIRTを構築する上で達成すべき目標(ミッション)を決め、どんなインシデントが起こり、どんな内容にCSIRTが対応するのかある程度決めておく。山本氏は「例えばパソコンの紛失はCSIRTでなく総務が対応するといった組織があるように、CSIRTが対応する内容を決めておかないと、悪く言えば何でも屋のようなチームになってしまう」と警告する。
「CSIRTの構築というと難しいことに感じるかもしれないが、既にシステム管理部門や監査部門などには、日々インシデント対応などを行っている人が多い。また、CSIRTと名乗った活動はしていないが、インシデント時には、事実上、CSIRTの働きをしている組織もある。そういった組織は対外的な連絡窓口を整え、社外からも連絡を受けられるようにしておくことで比較的スムーズなCSIRT構築ができる」と提案する。
CSIRTの人材については、「技術的な知識だけでなくコミュニケーション能力も不可欠、例えばインシデント対応時に経営層や関係部署、外部などに適切な言葉で説明できる人がいることで正しく伝わる、これはとても重要」と話す。加えて、ウイルスの解析、ログの分析など技術的な対応については、「外部の専門的な組織に任せてもいい。自分たちがやるべきことを把握し、目指すものを決め、現状把握をすることで、どのような人材が必要で、どのような人材が足りないか見えてくる」と山本氏は説明する。
有事対応は準備が重要
結成後は社内への周知を平常時に進める。損害が起きた時の深刻さを経営陣や他部署に知ってもらい予算を確保する。そのためにも訓練を行ったり、私物も含めたパソコンやスマートフォンの管理や気をつけるべき行動を知らせるといった活動を行い、インシデント対応時以外の実績を公開する。これにより周りが認め、相談も集まってくるという。「上から目線にならない、攻撃的にならないことで相談が集まる。何か起こっても『罪を憎んで人を憎まず』の精神でいることで風通しがよくなり、インシデントの未然防止にもつながる」と山本氏はCSIRTのとるべき姿勢について述べた。
万が一のインシデント対応において山本氏は「まず事前準備が大事。(前述の)結成時の注意点同様に自社の業種や実態からサイバー攻撃を想定し、対応のフローを作っておく。そして組織内部・外部からの問い合わせ窓口を普段から周囲に知らせておき、正しい情報を伝える相手を把握するよう連絡網を共有しておく。外部に対応を任せる場合は、想定内容を詰めておく。そうした事前準備をしておけば、被害を最小限に防げる」と説明。「インシデントを機に、自社の弱点(脆弱性)を知り、対策を練り、訓練を積み重ねることで改善点も見えてくる。そういった運用をしていく中でセキュリティ人材の確保やCSIRTとしての活動を続けていくことで、強い組織作りにつながる」とした。
「CSIRTを作ることでインシデント検知を早め、インシデント対応でノウハウを蓄積し、再発防止へセキュリティ品質を向上させる。CSIRTがレジリエントな組織作りに役立つことは間違いない」と山本氏は語る。日本シーサート協議会には267のCSIRTチームが加盟(2017年12月現在) 。IT企業や金融機関以外にも重要インフラ事業者や不動産など、さまざまな企業が加盟している。同協議会では加盟チームの情報連携の場を提供し、新規にCSIRTを結成した組織への支援などを行っている。
(了)
リスク対策.com:斯波 祐介
- keyword
- CSIRT
- 日本シーサート協議会
待ったなし!サイバー攻撃対応の手法の他の記事
おすすめ記事
-
被災時に役立ったのはBCPではなく安全確保や備蓄
今号から、何回かに分け、内閣府「令和3年度企業の事業継続及び防災の取組に関する実態調査」の結果を解説するとともに、防災・BCPの課題を明らかにしていきたい。第2回は、被害を受けた際に有効であった取り組みについて
2022/05/19
-
最後に駆け込める場所をまちの至るところに
建築・不動産の小野田産業は地震や津波、洪水、噴火などの自然災害から命を守る防災シェルターを開発、普及に向けて取り組んでいます。軽くて水に浮くという特色から、特に津波避難用での引き合いが増加中。噴火用途についても、今夏には噴石に対する要求基準をクリアする考えです。小野田良作社長に開発の経緯と思いを聞きました。
2022/05/18
-
新しいISO規格:ISO31030:2021(トラベルリスクマネジメント)解説セミナー
国際標準化機構(ISO)は2021年9月、組織向けの渡航リスク管理の指針となる「ISO31030:2021トラベルリスクマネジメント」を発行しました。企業がどのようにして渡航リスク管理をおこなったらよいか、そのポイントがまとめられています。同規格の作成にあたって医療・セキュリティの面から専門的な知識を提供したインターナショナルSOS社の専門家を講師に招き、ISO31030:2021に具体的に何が書かれているのか、また組織はどのようなポイントに留意して渡航リスク管理対策を講じていく必要があるのかなど、具体例も交えながら解説していただきました。2022年5月17日開催
2022/05/18
-
BCPは災害で役に立たない?
今号から、何回かに分け、内閣府「令和3年度企業の事業継続及び防災の取組に関する実態調査」の結果を解説するとともに、防災・BCPの課題を明らかにしていきたい。第1回は、BCPの見直し頻度と過去の災害における役立ち度合いについて取り上げる。
2022/05/18
-
政府調査 BCP策定率頭打ち
内閣府は5月18日、令和3年度における「企業の事業継続及び防災の取組に関する実態調査」についての結果を発表した。それによると、大企業のBCPの策定状況は、策定済みが前回の令和頑年度から2.4%伸び70.8%に。逆に策定中は0.7%減り14.3%で、策定済と策定中を合わせた割合は前回とほぼ同じ85.1%となった。政府では2020年までに大企業でのBCP策定率について100%を目標としてきたが頭打ち状態となっている。中堅企業は、策定済みが40.2%(前回34.4%)、策定中が11.7%(前回18.5)%で、策定と策定中を足した割合は前回を下回った。
2022/05/18
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2022/05/17
-
-
-
SDGsとBCP/BCMを一体的にまわす手法~社員が創り出す企業のみらい~
持続可能な会社の実現に向けて取り組むべきことをSDGsにもとづいてバックキャスティングし、BCP/BCMを紐づけて一体的に推進する、総合印刷サービスを手がける株式会社マルワ。その取り組みを同社の鳥原久資社長に紹介していただきました。2022年5月10日開催。
2022/05/12
-
企業が富士山噴火に備えなければならない理由
もし富士山が前回の宝永噴火と同じ規模で噴火したら、何が起きるのか? 溶岩や噴石はどこまで及び、降灰は首都圏にどのような影響を及ぼすのか? また、南海トラフ地震との連動はあるのか? 山梨県富士山科学研究所所長、東京大学名誉教授で、ハザードマップや避難計画の検討委員長も務める藤井敏嗣氏に解説いただいた。
2022/05/11
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方