インシデント対応のCSIRT、未然防止に向けた平時の活動が重要～NTTDATA-CERT

株式会社NTTデータ代表取締役常務執行役員でCISOでもある山田伸一氏（左）、技術開発本部ITアーキテクチャ＆セキュリティ技術センタ部長の宮坂肇氏（右）

　株式会社NTTデータは13日、同社グループにおけるCSIRT活動についての記者説明会を開催し、同社代表取締役常務執行役員でCISOを務める山田伸一氏と、技術開発本部ITアーキテクチャ＆セキュリティ技術センタ部長の宮坂肇氏が、その活用内容や重要性を開設した。

　CSIRT（Computer Security Incident Response Team）とは、ウイルス感染やDoS攻撃、情報漏えいなどのセキュリティインシデントに対応する専門チームのこと。万一、そのようなインシデントが発生した場合には原因を調査・分析し、被害の極小化に向けた対策をとるとともに、復旧と再発防止のための検討・対策を進める。

　もちろん常にこうしたインシデントが起きているわけではなく、むしろ「平時における未然防止のための活動が重要」だという。具体的には、緊急体制や対応手順の整備、訓練、セキュリティ教育・啓発などのほか、システムの脆弱性情報や攻撃情報、最新技術情報の収集、サイトやネットワークの監視、CSIRTメンバーのスキルアップなどが行われる。

　NTTデータグループでは、1997年から1998年にかけて情報セキュリティ推進体制を発足。その後、公共・金融・企業という3事業部門とコーポレート部門でそれぞれCSIRTの機能を設けて活動してきた。しかし、昨今の攻撃の高度化などに対応すべく、情報・機能を集約するために2010年7月、「NTTDATA-CERT」を発足させた。コアメンバーが十数人おり、案件によってチームを構成する。

　山田氏によると、NTTDATA-CERTでは現在までに、同社への標的型攻撃や情報漏えいなどによりインシデント対応を行うような事態は発生していないという。情報セキュリティポリシーを策定し、それを社員に遵守させる活動を10年来行っていること、メールフィルターなどの技術的運用がうまく運用されていることなどが効果を上げ、インシデントを未然に防止できてきるのではないかとしている。

インシデント対応の活用内容	インシデント未然防止ための平時の活動内容

　NTTDATA-CERTは4月19日、世界約250機関・企業のCSIRTが参加するコミュニティ「FIRST（Forum of Incident Response and Security Teams）」に加盟。また、3月1日には日本シーサート協議会（NCA）にも加盟している。しかし現在、NCAに加盟しているのは約20チーム。国内でも大企業であれば同様の活動をすでに行っているところも多くあると思われるため、その意味ではNCAへの加盟チームは少ないのではなかという。

　一方、近年、攻撃が高度化・複雑化するとともに、特に最近は特定の企業・団体を狙った攻撃が増え、インシデントが発生しても原因がすぐにわからないケースも増えているという。日々新たな攻撃手法が登場する中、自社で収集した情報だけで対応していくのは難しい面もあるとし、CSIRTのコミュニティに参加することで他社と情報交換できるメリットがあると訴えた。