ITpro Special
週間WEEKLY ITpro Special ITpro

CSIRTをアウトソーシングするメリット

 セキュリティの脅威は、標的型攻撃だけではない。ランサムウエアやビジネスメール詐欺(BEC)も急増中であり、セキュリティ担当者は気が休まる暇もない。このような状況に対応するべく、IPA(独立行政法人 情報処理推進機構)と経済産業省は「サイバーセキュリティ経営ガイドライン Ver2.0」を2017年11月16日に発表した。改訂のポイントは、CSIRT(シーサート: Computer Security Incident Response Team)の設置と外部サービス利用の提言の2点。このガイドラインに沿ったセキュリティ対策の整備について、「サイバーセキュリティ経営ガイドライン Ver2.0」の作成に携わった「サイバーセキュリティリスクと企業経営に関する研究会」の委員の一人であるS&Jの三輪信雄氏とマクニカネットワークスの村上雅則氏が語り合った。

新しいガイドラインのポイントは
CSIRT設置と外部サービスの利用

S&J株式会社
代表取締役社長
三輪 信雄 氏

三輪氏 経営者向けにサイバー攻撃への対策ポイントを解説した「サイバーセキュリティ経営ガイドライン」が発表されたのは、2015年12月のことでした。このガイドラインは毎年改訂されていて、2016年12月にVer1.1、2017年11月にはVer2.0になっています。私は、この3つのバージョンに、策定や改訂検討の委員として関わってきました。

村上氏 ガイドラインが毎年改訂されているのは、サイバー攻撃をめぐる状況がそれだけ目まぐるしく変化しているからですね。Ver2.0への改訂では、どのようなところに重点が置かれたのですか。

三輪氏 経営者の方々に納得いただくために文書の構成を大きく変え、指示事項も具体的な表現にしました。例えば、インシデント発生に備えた体制構築として「組織内の対応体制(CSIRT等)を整備させる」や「経営者が組織の内外へ説明できる体制を整備させる」といった具合です。また、「アクセスログや通信ログ等からサイバー攻撃を監視・検知する仕組みを構築する」こととし、「自社に当該スキルを持った人材がいない場合は、外部の監視サービスを活用することも検討する」と、アウトソーシングにも言及しました。

マクニカネットワークス株式会社
営業統括部
セキュリティサービス営業部
部長代理
村上 雅則 氏

村上氏 営業として日頃お客様と接していると感じるのですが、企業のセキュリティ担当の方は「サイバーセキュリティ経営ガイドライン」についてよくご存じです。ただ、その一方で、ガイドラインに示されている3原則・重要10項目を実際に行おうとして、様々なお悩みを抱えていらっしゃいます。

三輪氏 セキュリティ技術者の不足ですか?

村上氏 それもあります。CSIRTを担う人材を企業内で育成するには相当の時間がかかりますが、だからといって外部からセキュリティ人材を採用するのも簡単ではありません。そもそもセキュリティ人材は不足していますし、給与や処遇を考慮するのも難しいでしょう。もう一つは、「ウチの現在のセキュリティ対策で十分なのか」を確かめたいというお悩みです。新しいガイドラインが出たが、わが社の環境はそれに適合しているのか、他企業と比較してどのようなポジションにあるのか。そこをセキュリティの専門家にチェックしてもらい、アドバイスしてほしいといわれています。

CSIRTの役割のうち、技術領域は
セキュリティ専門企業に委託可能

三輪氏 セキュリティ専門企業の活用を「サイバーセキュリティ経営ガイドライン Ver2.0」に書き込んだのも、まさにそのためです。日々新たな手口が生み出されている現在、大企業であっても自営消防団のようなCSIRTでできることには自ずと限界があります。私は、CSIRTには「社内政治」と「技術」の2つの役割があると考えています。セキュリティ標準を策定して従業員を教育したりインシデント発生時に対策本部を務めたりするのが、社内政治。この役割は外部に委託することはできません。一方、防御・検知・対処といった技術的な事柄については、必要に応じてアウトソーシングするのもよい考えだと思います。

[画像のクリックで拡大表示]
セキュリティインシデント対応時に必要な役割
社内でないと対応できないのは内部調整役のみ。専門的技術者と外部調整役の役割はセキュリティ専門企業に委託することもできる

村上氏 弊社もそうしたトレンドを感じており、セキュリティサービスの専任チームを2017年4月に立ち上げました。弊社は長年にわたって海外の最先端のセキュリティ製品を国内向けに販売してきましたので、提案力やサポート力には自信を持っています。それらの活動から得られた知見やノウハウを、セキュリティサービスというかたちでCSIRTやセキュリティをご担当の方に届けられないか。そういう考えで生まれたのが、サイバーセキュリティサービスの「Mpression Cyber Security Service」(エムプレッション サイバーセキュリティサービス)という新しいブランドです。

三輪氏 すると、今後は、ソリューションとサービスの両面で企業のセキュリティ対策を支援されていかれるわけですね。

村上氏 はい。例えば、標的型攻撃を受けたかもしれないと心配されているお客様には、ファイルやURLの脅威レベルを判別する「Mpression Threat Intelligence Platform」というサービスをご提供しています。また、不幸にしてインシデントが発生してしまった場合も、原因究明などの初動対応を弊社のセキュリティ技術者がアドバイスを行う「Mpression Incident Handling Service」をご利用いただければ原因究明や対処、復旧までの時間を短縮できることでしょう。さらにもう一歩踏み込んで、マルウエアが社内に潜伏していないということをはっきりと確かめたい、と望まれる場合は「Mpression Compromise Assessment Service」をお勧めしています。

外部調整役と専門技術者の役割は
「S&J CSIRT」に任せるのが得策

三輪氏 そうしたサービスラインアップの一つとして、S&JのCSIRTアウトソーシングサービスを加えていただいたというわけですね。

村上氏 「S&J CSIRT」を弊社が一次代理店として販売すると2017年10月に発表させていただきました。「サイバーセキュリティ経営ガイドライン」でも強調されているように、マルウエアの防御・検知・対処・復旧に取り組む専任組織、つまりCSIRTはどの企業にも必要な社会情勢になっています。しかし、先ほども申し上げましたように、そのための人材を新たに採用するのも、内部で育成するのも、決して簡単なことではありません。そこで、お客様には“社内政治”に関わる内部調整役に専念していただき、専門の知識と経験が求められる技術者と対外発表にあたる外部調整役には「S&J CSIRT」を活用していただこうと考えています。

三輪氏 2017年に入って、セキュリティ人材に対する求人の様相が一変しました。以前はセキュリティ製品のベンダーやシステムインテグレーターからの求人がほとんどだったのですが、最近は、CSIRT要員の確保や増強に向けて、一般の企業もセキュリティ人材の獲得に血眼になっています。中には、セキュリティベンダーから引き抜いた技術者をCSIRTに置いている企業もあると聞きました。

村上氏 そうした“取り合い”の状況下では、有能なセキュリティ人材を適切なコストで確保することは極めて難しくなります。“餅は餅屋”ではないですが、技術の部分は弊社のような企業にお任せいただくのが得策でしょう。セキュリティソリューションの販売を通して提案力とサポート力を蓄えてきた弊社と、情報セキュリティと呼ばれていた頃からコンサルティングに取り組まれてきたS&Jがコラボレートすることによって、日本の企業と社会はさらに安全・安心なものになると確信しています。

日本企業のサイバーセキュリティ向上のために、S&Jとマクニカネットワークスはこれからも力をあわせて取り組んでいく
PDFダウンロード
  • よりよいCSIRT運用を行うために

    セキュリティインシデントに対応するために、適切なCSIRTの運用が求められている。そのためには、現状把握、対策、運用というステップを踏んでCSIRTを構築する必要がある。具体的にどのようなサービスを活用すればいいのかを解説する。

お問い合わせ