• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
ITpro Special
週間WEEKLY ITpro Special ITpro

日本ヒューレット・パッカード:CSIRT

日本ヒューレット・パッカード

インシデント対応の精度を高める
CSIRT構築のポイント

有事に臨んでCSIRTを有効に機能させるには、しっかりとした事前準備を整えておくことが不可欠だ。具体的には、セキュリティ侵害の状況を精査できるスキルの確保や、システム停止などの重大な対処にかかわる判断基準の設定、万一を見越したリスクアセスメントなどだ。そうした準備がインシデント対応の精度を高め、被害の最小化に貢献する。

日本ヒューレット・パッカード株式会社
エンタープライズサービス事業統括
セキュリティサービス本部
本部長
大森 健史

 「CSIRTとは自社や顧客、あるいは国、地域など『事前定義された対象において発生したコンピュータセキュリティインシデントの対応に責任を持つ常設、ないしは臨時対応のチーム』であると捉えられます」と日本ヒューレット・パッカードの大森健史氏は語る。

 このようなCSIRTにおける活動に関し示唆に富んだ事例が、2013年に米国の小売業において発生した標的型攻撃による情報漏洩事件だ。結果からいうと、この事件で当該企業は、膨大な件数の顧客情報を窃取されてしまった。

 そこに至る経緯には、例えばシステム構成や認証の仕組みの不備など、様々な問題があった。「CSIRTにおけるインシデント対応という観点で見れば、APT対策製品やウイルス対策ソフトからアラートが上がっているにもかかわらず、運用を続けてしまったということが最大のポイントだといえます」と大森氏は指摘する。それには、問題が発生した時期は繁忙期で、ことによると誤検知かもしれないアラートの発報を理由にサービス停止を決断できなかったという事情がある。

「専門家の目」で状況を精査し 既定の明確な基準で判断を下す

 こうした事例を踏まえ、CSIRTの構築に当たっては三つのポイントが挙げられる。まず、セキュリティ侵害の手法に精通した「専門家の目」で、状況を精査できる体制を整えることが必要である。そのようなスキルを持つ人材を社内に抱える、あるいは社外のリソースを活用するといった対応が望まれるわけだ。

 また「専門家の思考」をシステムで実現するSIEM(Security Information and Event Management)を導入することも有効な手立てとなる。HPでは、通常のSIEMの機能に加え、最新の脅威・脆弱性情報を活用する「脅威インテリジェンス」、個人の行動から不正や“なりすまし”をあぶり出す「行動プロファイリング」などの機能を備えた「HP ArcSight」を提供。インシデントの早期発見、被害の最小化に寄与するツールとなっている。

 次のポイントは、有事にも慌てることなく実行できるプロセスフローを策定すること。これについては、できるだけ人に依存することなく実行できるよう、判断基準を明確化し、事前承認を得ておくことが重要だ。

 そして三つめのポイントは、万一を見越したリスクアセスメントの実施。例えば、「ビジネスの一時停止」を決断するには、予想損失額をあらかじめ算出し、それに基づく判断基準を設けておくといったことも必要である。

 「HPでは、グローバルレベルでのリスクアセスメントから対策製品の実装、CSIRTの構築・運用までトータルに支援しています」と大森氏。企業のCSIRT関連の多様なニーズに応えている。

[画像のクリックで拡大表示]
お問い合わせ