イベントレポート

NCA 10th Anniversary Conference

専門家に踊らされるな!? “CSIRT”は作ってからが本番だ

 日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会:NCA)の設立10周年記念カンファレンス「NCA 10th Anniversary Conference 『絆』~CSIRTの襷をつなげ~」が8月23~25日、都内で開催された。

 CSIRTとは「Computer Security Incident Response Team」の略称。外部からのサイバー攻撃など、いわゆる“セキュリティインシデント”が発生した場合の対応を行うチームのことだ。近年、企業内で設立される例が増えており、この場合、システム管理・法務・広報など各部署間の連携において大きな役割を担う。

 NCAは、CSIRT間の情報共有や交流を目的に設立された団体。カンファレンス2日目の8月24日には、NCAの山賀正人氏が「CSIRTは本当に必要か? インシデント対応再考」と題して講演を行った。

日本シーサート協議会の山賀正人氏

 山賀氏によれば、日本は今、空前のCSIRT設立ブームを迎えている。2007年に6チームでスタートしたNCAだったが、現在は加盟チーム数が243にまで増加した。このブームのきっかけと考えられているのが、経済産業省が2015年12月に発表した「サイバーセキュリティ経営ガイドライン」。サイバー攻撃対策の重要性を企業の経営者層向けに啓発する内容となっており、中でもCSIRTの設立が重要と位置付けられていた。

 その効果と言うべきか、2015年に106だったNCA会員チーム数は翌2016年に203へとほぼ倍増した。

日本シーサート協議会の会員チーム数の推移

 しかし課題も出てきた。NCAに限らず、いわゆる「協議会」とは会員間の交流や情報交換が大きな目的の1つ。だが実際には、NCAに所属したものの、総会・ワーキンググループをはじめとした各種活動に一切参加しない会員が少なくないという。山賀氏は「CSIRTを作って、NCAの会員になることだけが目的化していないか」と、懸念を示した。

 また、CSIRTという言葉が注目を集める中で、そこに付け入る“怪しい商売”が近年増えている。例えば、CSIRTについて知識の浅い地方企業などに対し、不必要な機器をベンダーやコンサルティング会社が売りつけるケースが横行していると山賀氏は指摘する。セキュリティに詳しい人なら誰もが知っているJPCERT/CCにまで、「CSIRTを作りませんか」という営業電話がかかってくるという、もはや笑い話にすらならない事態も発生しているとのことだ。

 CSIRTの本質が理解されないまま、言葉だけが一人歩きしている状態が現にある中、企業のセキュリティ担当者――それこそセキュリティに明るくない担当者はどう業務を遂行していけばいいのか?

 山賀氏のアドバイスはズバリ、「専門家の言うことを鵜呑みにしすぎるな」。自己否定にもとられかねない発言だが、その真意はこうだ。「(CSIRTの急増に伴って)これまで総務や人事畑で働いていた人が、セキュリティ知識もないまま急にCSIRTの担当者になることもある。これ自体は大変良いことなのだが、真面目ゆえに『頑張って新しく勉強しよう』という意識があまりにも強すぎ、専門家の言葉を鵜呑みにしすぎる。『踊らされている』レベルまでなってしまっている」。

 山賀氏も、専門家の言うことは決して間違っていないし、嘘でもないと補足する。ただし、「その発言がすべての企業や組織に当てはまるかは別の話。(専門家の話は)あくまで考えの1つ。あえて極端に言うが『100%正しいセキュリティは存在しない』と考えるべきではないか」と山賀氏は訴えた。法律やガイドラインといったミニマムラインは当然あるが、それを超える部分については各組織がそれぞれの実態に合わせて運用スタイルを策定すべきという。

記事にはしづらい“ぶっちゃけ話”も多く、会場も盛り上がっていた

 では、実態に合わせた運用スタイルはどうすれば見つけられるのか? そのときこそNCAを活用してほしいと山賀氏は呼び掛ける。「(正会員になる前に)まずはプレユーザーとしてNCAに参加し、ワーキンググループなどを通じて他のCSIRTと仲良くなってほしい。そうしたら次はそのCSIRTへ個別インタビューに行くのがお勧め。そこで詳しく話を聞いてみて、自分たちのCSIRTを作るときの参考にするといい」。

 また、実地的なセキュリティ情報を日常的に収集するには「Twitterでセキュリティ専門家のツイートをフォローする」ことが有効という。マスメディア発信のセキュリティ脅威情報は、“発生の初報”にとどまるケースが多い。しかし実際には、発生した脅威への研究が時々刻々と進む中で、危険性が高くないことが分かるケースも当然ある。そういった複雑状況をいち早く掴むには、マスメディアよりも専門家のツイートが有効だという。