一刻一秒を争うセキュリティインシデントには一元化した情報管理ツールが必須

 いち早くセキュリティインシデントの報告を受け、社内外の関係者と連携を図る「組織内CSIRT」の需要が高まっている。こうした中、多方面のエスカレーション先と的確かつ迅速にステータスを把握するツールはマストアイテムとなる。実際の現場対応を交えながら、組織内CSIRTの在り方と管理ツールの有効性について解説する。

index

index

index

index

サイバー攻撃の脅威と真っ先に向き合う組織内CSIRTの重要性

 標的型攻撃メールやランサムウエア(身代金要求型ウイルス)など、企業は日常的にサイバー攻撃の脅威にさらされている。今や企業規模の大小を問わず、強固な情報セキュリティ体制の確立は"必須かつ急務の課題"となってきた。

 組織の中で真っ先にセキュリティインシデントと向き合うのが組織内CSIRT (Computer Security Incident Response Team)である。顧客、社内ユーザー、あるいは監視システムなどから第一報を受け、インシデントのレスポンスを担う重要な役割を果たす。2017年2月、日本情報システム・ユーザー協会(JUAS)が発表したデータによれば、東証一部上場企業またはそれに準ずる企業では、約1割がCSIRTを設置していると回答した。

 数多くのCSIRT構築を支援してきたネットブレインズ ソリューション事業部 事業部長の矢木眞也氏も、この傾向を肌で感じている1人だ。「以前は情報システム部のサービスデスクが兼任することがほとんどでしたが、ここ2年ほどは組織内CSIRTを新たに構築する気運が高まってきました」(矢木氏)。

 ここで求められるのが、セキュリティインシデントを効率的に管理するツールだ。言うまでもなく、サイバー攻撃への対応は一刻一秒を争うものとなる。「今、どの担当者が、どこまで、どのような対処を行ったのか」――セキュリティインシデントへの対応状況を管理ツールによって"見える化"すれば、被害の拡大を食い止めることができる。

ネットブレインズ ソリューション事業部 事業部長 矢木眞也氏

 これまで情報システム部が管轄するインシデントは、インフラやパソコン、ソフトウエアなどに関するトラブルを意味していた。極端な話、パソコンの故障や不調であれば該当者をケアすれば済むことから、対応は比較的緩やかなものとなる。こうした背景もあり、従来の障害対応管理ツールとセキュリティインシデント管理ツールでは質が異なるものだと矢木氏は指摘する。

 「セキュリティインシデントでは緊急を要するケースが多いため、情報システム部にあった従前の仕組みとは異なる管理方法を構築しなくてはなりません。一方で、新たに開発してまで専用管理ツールを構築するほどコストをかけられない事情もあります。そこで柔軟に対応できる管理ツールを活用されるケースが増えています」(矢木氏)

1600台のUTM情報を2人で管理できる「ManageEngine ServiceDesk Plus」

 しかし、現実的には大手企業でも組織内CSIRTの専任者は「おそらく数人」(矢木氏)だという。このため中小企業における組織内CSIRTは、アウトソーシングが主流となる。そこでネットブレインズではUTM(統合脅威管理)販売とセットでCSIRT代行サービスを手がけている。

 具体的なサービス内容はこうだ。販売したUTMのトラフィックログを収集し、防御をすり抜けたインシデントを同社のサポートデスク「RED LIONS」が管理してCSIRTの役割を担う。

「中小企業に多いのがIT担当者は1人だけという、いわゆる"ひとり情シス"です。セキュリティ対応でひとり情シスは危険極まりない。その部分を我々が補完しないと中小企業のセキュリティ対応がなかなか向上していかない現実があります。そこで弊社が販売したUTMのログを預かり、CSIRTの一部をお手伝いしています」(矢木氏)

 ここで利用する管理ツールが、ゾーホージャパンによる「ManageEngine ServiceDesk Plus(以下、ServiceDesk Plus)」である。ServiceDesk PlusはITIL(Information Technology Infrastructure Library)に準拠した、インシデント管理、サービス要求管理、問題管理、変更管理、CMDB管理などに対応するITサービスマネージメントツールだ。同社では本ツールにセキュリティインシデントのカテゴリーを設定し、収集した監視情報やアラートを一括管理している。モデル分類を当てはめれば、標準的なCSIRT対応のインシデント管理システムが完成する。

ServiceDesk Plusの管理画面例

 現在、RED LIONSでは1600台のUTMを管理対象とし、インシデントのレベルに応じてServiceDesk Plusでさまざまな問い合わせ内容を振り分けている。例えばセキュリティインシデントへの対応内容を「ソリューション」モジュールに登録することで、ナレッジが蓄積されていく。「ナレッジは簡単に検索できますし、サポートデスク内で共有しています。過去の事例を参照することで、対応策の検討も非常にスムーズになります」(矢木氏)。

 驚くべきことに、1600台の管理に主に携わるのはわずか2人。矢木氏は「この件数をメールで管理するのは不可能。お客様の用途に合わせて自由にカテゴリー分けできるからこそ実現可能なのです」と、ServiceDesk Plusの柔軟性を高く評価。担当者が対応できないケースは対応部署やメーカーなどに速やかにエスカレーションする。フィードバックがあった場合もServiceDesk Plusで管理して、情報やステータスをすべて集約している。

 組織内CSIRTでは、このように外部関係者も交えたエスカレーションや双方向のやり取りが重要となるため、他組織との連携運用フローを作ることから始める。そこで重視されるのがトリアージ(優先順位の判断)である。

 「例えば重要なセキュリティインシデントに関しては、より上位のCSIRT、場合によっては警察などに報告しなくてはなりません。判定基準は各組織に委ねられますが、こうしたトリアージの判定もServiceDesk Plus内で行います。検討の結果、さほど重要でないものは内部でクローズし、重要なものはエスカレーションするといった流れになります。この基準をしっかりと定めておかないと本来ならばインシデント報告があるべき案件もそのままになってしまう可能性があり、危険が伴います」(矢木氏)

リモートのクライアント管理ソフトとの合わせ技も活用できる

 ServiceDesk Plusの長所は、高い柔軟性の一方で管理プロセスごとの分類方法があらかじめ用意されている点にある。汎用的なグループウエアでは一から自分たちで流れを構築する必要があるが、「ServiceDesk Plusはしっかりと流れが組み込まれているため、我々も説明しやすく、お客様も理解しやすい」と矢木氏は話す。

 また、導入後の運用がプログラムレベルではなく、ユーザーレベルで対応できるのも魅力のひとつである。ジャストフィットを求めるならば新規開発がベストかもしれないが、運用方法が変更された場合にSE費用がかさんでしまうことになる。「ServiceDesk Plusは最初の構築以外、すべてお客様自身での変更が可能です。わざわざ情報システム部に依頼せずとも運用できるのが利点です」(矢木氏)。事実、この平易な運用管理はユーザーからも好評を博している。

 ServiceDesk Plusと組み合わせて利用できるリモートコントロール機能付きのクライアント管理ソフト「ManageEngine Desktop Central(以下、Desktop Central)」は、クライアント側の水際対策として有効だ。Windows、MacOS、Linux OSへのパッチ配布を行う統合管理型で、管理や設定をGUI操作できる。

Desktop Centralのダッシュボード画面

 例えばユーザーからPCの動作が遅くなったなどの報告があった場合、ウイルス感染の可能性を視野に入れてPCへの調査が必要な場合もある。かと言って、実際にウイルスによる影響かどうかはわからない状態で専門担当者が現地まで足を運ぶのは現実的ではない。「リモートコントロールで専門担当者が対応することは、今後必須となるでしょう」(矢木氏)。OS、サードパーティソフトに対するパッチを自動適用できるため、担当者の時間・労力を極力削減できる効果もある。

 いずれにせよ、組織内CSIRTにとってポイントとなるのは情報の一元管理にほかならない。矢木氏は、情報管理の重要性を改めて強調した。

「セキュリティインシデントでは生の情報を必ず一元管理しておかないと、通常のIT障害とはまったく異なる状況に陥るケースもあります。下手をすれば、企業が傾いてしまう可能性すら起こり得ます。ですから、こうしたツールを活用してすぐにでも情報共有を図るべきだと思います」(矢木氏)

お問い合わせ

ゾーホージャパン株式会社
〒220-0012 神奈川県横浜市西区みなとみらい3-6-1 みなとみらいセンタービル13階
TEL:045-319-4612(ManageEngine営業担当)