サイバー攻撃に対応できる組織づくりと、人材の育成
最近では一般の企業でも標的型攻撃をはじめとする高度なサイバー攻撃を受けることが珍しくない状況であり、対応するための組織づくりや人材の育成、確保といった課題がクローズアップされている。
1. CSIRTとは
ここ1~2年の間で耳にすることが多くなってきた「CSIRT」という言葉、その意味や目的は何でしょうか。
「CSIRT」とは「Computer Security Incident Response Team」の略で、文字をそのまま訳すと「コンピュータに関するセキュリティ事故への対応チーム」となります。
これだけですと、"組織内の災害対策体制のような緊急時の対応組織"か、"実際の現場対応をする情報システム担当チーム"のように見えます。前者だけなら会社としての事業継続計画やISMSなどのルールに従った体制ですし、後者だけなら、場合によっては外部委託で対処を行う内容ともなります。
「CSIRT」という定義をする場合、一般的には下記のようなタスクを持ちます。
- 平常時
- 組織内セキュリティ施策、改善施策への関与、サポート
組織を代表するセキュリティ対応組織としての外部との交流や情報収集
情報提供や啓発活動 - インシデント発生時
- 対応状況のハンドリング、必要に応じて経営層へのレポーティング
専門的な知見も活用しての対処、被害極小化
外部からの情報や通報の受け口、対処についての連携窓口
特に外部交流については日本シーサート協議会などを軸として、横のつながりを作って自社だけでなく社会としてサイバーインシデントに対抗しようという目的もあります。
NTTデータグループでは、NTTDATA-CERT(NTTデータ セキュリティ技術部)とIL-CSIRT(NTTデータ先端技術 セキュリティ事業部)の2チームが日本シーサート協議会に加盟、活動しています。
2. CSIRTの業務
CSIRTの業務範囲の決定は、前項で述べたタスクに対しその組織の事業や目的に応じて
- 商用システム
- 社内システム
- 特定のシステムのみ
- 全ての情報システム
などの選択肢から守るべき対象を選び、さらに、対象とするインシデントの種類として
- 特定の脅威のみ
- サイバーセキュリティインシデント全般
- 非サイバーセキュリティインシデント(コンピュータに限らない対応)
といった範囲を明確にすることで行います。
最終的には上記のような要素から、「タスク×対象システム×インシデントの種類」で業務の範囲が決まります。
これを起点として、実際に必要な組織の定義や手順書、運用体制などの構築が始まります。
実際のCSIRT構築や運用について、NTTデータ先端技術では豊富な経験を元に支援サービスを提供しています。
3. CSIRTに必要な人材
CSIRTの業務範囲が決まったら、次はCSIRTを運用するために必要な人員・人材の手当が必要になります。
CSIRTで必要とされる人材に要求されるスキルは多岐にわたりますが、理想としては、各メンバーが
- セキュリティ技術者として、フルスタック・フルレイヤの経験や知見
- インシデントをマネジメント・ハンドリングする人としての、ストレス耐性や交渉能力
といった人的・技術的スキルを持っている事になります。(詳細は日本シーサート協議会やJPCERT/CCのホームページ参照)
しかし、実際にこれらを全てのメンバーに求めるのは非常に困難です。
このため、当初は必要となる頻度に対して専門性が高いコンピュータフォレンジック調査や、コストの集約効果が高い監視業務などを中心にアウトソーシングとし、組織を代表して対応するために必要な最小限のコントロールタワーとなる人員で運用を開始するという解もあります。
また、ある程度はメンバーごとに役割を分けたり、メンバー間でスキルを補完しあったりすることでも隙間を埋めることは可能でしょう。しかし、いずれはチームの中心となってインシデントの全体を見渡し、早期の収束のために適切な技術的対処や指示を行うことのできる、先ほどの要件を備えたメンバーが必要となってきます。
今までこのような人材を得るには、主にセキュリティに関する業務の経験を重ねたメンバーを育成することで獲得していました。しかし、インシデントを経験する機会は均等に訪れないために安定した育成が難しく、時間も掛かることが、人材不足となる要因の一つでした。
そこで、能動的に経験者を育成するための仕組みとして「サイバーレンジ」と呼ばれる教育・演習システムが教育機関や中央省庁などを中心に導入されつつあります。
効率よく運用できる工夫をされた巨大な仮想基盤上に構築されており、体系立ったカリキュラムに従って、チームまたは個々人で攻撃手法や対処について数多くのシナリオに沿った操作・体験・演習ができます。
これを用いることで、実務経験に比べて非常に短い期間で一定レベルのセキュリティ人材を育成することが可能です。
今後、2020年に向けたセキュリティ人材の需要増加に対する供給不足の現状を変えるための鍵になるかもしれません。
Writer Profile
セキュリティ事業部
インシデントレスポンス担当 担当部長
植草 祐則
Tweet