CSIRT設置もインシデント対応には「自信がない」ワケ

　ガートナーのユーザー調査では、日本企業の56％がCSIRTを設置していると回答した。 CSIRTを設置している企業のうち、「インシデント・レスポンスに対して自信がない」という項目において「非常にそう思う」が14％、「ある程度そう思う」が53％と、合計で6割以上がインシデント対応に自信がないと回答した。

「CSIRTの設置率が高いにも関わらず、この状況であるのは危機的だと思います」と語るのは、ガートナー シニアディレクター,アナリストの矢野薫氏だ。

　なぜインシデント対応に不安を感じる企業が多いのか。矢野氏は考えられる理由を3つ挙げた。

　1点目は「インシデント・レスポンスに対する期待値」である。2015年に経済産業省が「サイバーセキュリティ経営ガイドライン」を発表したことで、インシデント・レスポンスに対する意識が高まったという。

　そこで、CSIRT構築ブームも始まり、知名度と期待値が跳ね上がった。しかし、CSIRTの構築は本質より形や名前から始まった部分が大きく、達成目標を設置していなかったために結果的に形骸化を招いてしまったという。

　2点目は「インシデント・レスポンスの対象範囲の拡大」である。セキュリティの範囲は年々広がり、サイバーセキュリティやOTセキュリティ、IoTセキュリティといったように保護対象は多岐にわたる。そのため、今までのITセキュリティの常識がそのまま適用できるわけではなく、カバーできないケースが生まれてくる。

「セキュリティ部門がITの領域を100％わかるかというと、そうではありません。そのため、全容が分からず、どう対応したらいいのか不安を感じてしまうのだと思います」（矢野氏）

　3点目は「想像以上に根深い『組織分断』や『対立』の問題」である。IT／セキュリティ部門は今まで培ったセキュリティの経験や知識をもとに、事業部門と協力体制を構築したいと考えるが、事業部門にはIT／セキュリティ部門にポジティブなイメージがなく、距離を取られることも多いという。このように組織的感情論から十分な部門間連携が取れない場合がある。

「すべての企業がそういうわけではないですが、こういった悩みを持っている企業の方々が多いのも事実です。この問題だけではありませんが、セキュリティの組織体制がうまくいかない事象の1つでもあるという意識は持っていいと思います」（矢野氏）

早期発見には全体俯瞰から“つながり”を見る

　この3つの問題点について、「放置しておいていい問題ではありません。このままではインシデント・レスポンスが後手に回ってしまう可能性があります」と矢野氏は警鐘を鳴らす。

　そのためにも企業はインシデントに素早く対処する必要がある。矢野氏は特に後手に回してほしくない3大要素を挙げる。

　1つ目は「とにかく早く脅威を見つけること、探し出すこと」である。

　インシデントの早期発見を行うために、企業ではNDRネットワークログやEDRエンドポイントログから個別にインシデントを検知してきた。しかし、サイバー空間と物理空間がつながっている現代においては、個別でのインシデント検知だけでは早期発見は難しいとい考えられる。

　そこで矢野氏は「個々の情報をつなぎ合わせ、一段上から俯瞰して捉えられるようなアプローチをとるべきです」と説明する。また、その際に重要なポイントとしてはさまざまなデータを取り込める自由度があること、大量のデータを保持できる仕組みがあることだ。


　一方で、インシデントをいち早く見つけるためのアラート設定において「人が少ないから管理できない」という声もあるという。これに対し矢野氏は「ある程度テクノロジーの力を使うべきです」と主張する。

「機械化や自動化という話をすると全部をいきなりテクノロジーに任せると思われがちですが、あくまで機械化・自動化の前提は“分業”です」（矢野氏）

　たとえば、脅威情報においては人間が感知できるものと機械でしか感知できないものと2種類ある。機械が読み取る脅威情報では、自動的にアラートの処理まで完了させることができ、最も効果が期待できるという。

　では、人間が読み取るべき脅威情報とは何か。矢野氏は「『次は何が狙われるのか』という先回りの調査をしてください。そうすることでインシデントを早く探し出すアプローチにもなります」と語る。

「100%アウトソーシングする、100%機械化する。そういう考えを少しだけ変えていくと、ちょっといい未来が待っているかもしれません」（矢野氏） 【次ページ】インシデントの初動対応で最も重視すべきもの