第３８３号コラム「名ばかりCSIRTで良いのか？」

第３８３号コラム：丸山 満彦　監事
（デロイト トーマツ リスクサービス株式会社　代表取締役社長、公認会計士、公認情報システム監査人）
題：「名ばかりCSIRTで良いのか？」

コンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRT）を作ろうという話を良く聞くようになりました。この言葉自体は、それほど新しい言葉ではありません。日本シーサート（CSIRT）協議会というCSIRTが実務レベルであつまって情報交換等をするような団体は２００７年に設立されていますね。JPCERTコーディネーションセンターというコンピュータ・インシデントに係わる情報共有等をする団体は、１９９６年に「コンピュータ緊急対応センター」として業務を始めています。約２０年前ですね。昔からセキュリティをしている人であれば、Code RedやNimdaというウイルスを覚えている方もいると思います。これらのウイルスがはやったのが２００１年ですから、それよりも更に５年前の話です。

さて、日本シーサート協議会に加盟しているCSIRTは２０１５年１０月１日現在、ちょうど“１００”チームとなっています。業種でいうとIT業界がやはり多く、全体の３分の１強となっています。しかしここ最近、急に増えているのは金融業界です。主要な総合バンクグループは当然のことですが、保険会社の加盟が相次いでいます。金融庁がCSIRTを構築しているかどうかアンケートをとったりしているものですから、義務付けではないものの、自主的にCSIRTを構築しはじめているのだろうと思います。日本シーサート協議会に加盟をしていないCSIRTがあると想定されるので、実質はもう少しあると思います。

このようなCSIRTを作る動き自体はよいことだと思っていますが、気になることがあります。それは「CSIRTが本当に機能しているのか」ということです。確かに、コンピュータ・インシデントの発生に備えて、チームの組成、役割分担、事故発生時のオペレーションを定義し、インシデントの発生に備えた具体的な訓練や演習をしているチームも多いと思います（それをしていなければ、そもそもCSIRTではありませんから）。しかし、肝心の「インシデントの検知」ができているのでしょうか。「うちの組織は今日もなんのインシデントの発生もなく穏やかだなぁ。うちのセキュリティは万全と言う証拠かな」というようなCSIRTがあれば、「本当にインシデントを検知できているのか」を疑う必要があります。インシデントを検知するためには、セキュリティ監視センターともいうべきセキュリティ・オペレーション・センター（SOC）を持つべきだと思います。社外との通信や社内の通信等を確認し、ウイルス等の侵入がないかどうかを検知できるような機能です。また、サイバー上の脅威に関する情報（たとえば、脆弱性情報や攻撃者に関する情報等）も積極的に収集し、分析できるような機能も必要でしょう。そのような機能が十分にあるのでしょうか？このような機能はCSIRTに含める場合もありますが、別の組織とする場合もあります（弊社の場合は、CSIRTとSOCは別の組織となっています）。

インシデントが発生した場合に対処するCSIRTの構築ばかりに力をいれても仕方がありません。セキュリティ・インシデントを発見する力の向上があわせて必要です。どちらも必要です。そうでなければ意味がありません。

もし、あなたの会社のCSIRTが日々暇にしているようでしたら、それは「名ばかりCSIRT」の可能性があります。本当にインシデントが発見できるような仕組みになっているのか確かめる必要があるかもしれません。予防、発見、対処の３つがそろってできるような組織になることが重要ですね。

【著作権は、丸山氏に属します】