インタビュー

CSIRTから見たコロナ禍の影響は? 「日本シーサート協議会」理事長インタビュー

 日本シーサート協議会は、会員企業へのアンケート調査に基づく「新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと-CSIRT対応プラクティス集(ver.1.0)」を9月9日に公開した。

 アンケートの内容やそこから浮かび上がる今後の課題に関して、日本シーサート協議会理事長の村上晃氏に話を伺った。

コロナ禍で8割の企業が追加対策、「テレワークで行うCSIRT」にも課題

――よろしくお願いします。日本シーサート協議会で行ったアンケートとその内容をご説明いただけないでしょうか?

日本シーサート協議会理事長の村上晃氏

 日本シーサート協議会は会員CSIRTチームが新型コロナウイルス感染症(COVID-19)対策でどのような対応をしていたのかアンケートを取りました。5月12日から15日までの間に189チームが回答しています。

 9割以上の組織がBCP(事業継続計画)や働き方改革を想定したテレワーク対応の準備を行っていたものの、コロナ禍に伴う大規模なテレワークに対して8割近くの企業で追加対策を行ったと回答されています。追加対策が必要なかったというのは15%にとどまりました。日本シーサート協議会の課題検討ワーキンググループの中でも「まだ境界防御してるところが多いので、VPNの回線容量や輻輳で対応が結構大変だった」と聞いております。

 CSIRTがインフラまで面倒を見ているところもあれば、そうでないCSIRTもあったりして事情が異なるのですが、全体的にはテレワークに対して追加対策が必要だったという回答が多かったと言えます。

テレワーク対応を組織としてやっていたのは9割だが、追加対策なしで済んだのはわずか15%、8割近くが何らかの追加対策が必要だった

 テレワーク実施に向けた取り組みということで、先に挙げたようなシステム等の環境整備だけでなく、(テレワーク勤務を前提とした)規定類の整備や利用者向けのガイドの作成、テレワーク対応可能なCSIRTとしての方針整備もあります。さらに、テレワークを想定したインシデント対応手順の見直しを行い、実際に演習や訓練を行ったCSIRTもございました。

事前にテレワーク可能なシステムを作っていても、方針や規定ガイド類まで決められていないのが4割。CSIRTもテレワークを行うということを想定していないチームが多く、演習や訓練まで踏み込んでいたのは5%程度だった

 CSIRT活動もほとんどがテレワーク対応を実施していたのですが、CSIRTの場合、インシデントが発生した際に現地対応が必要なケースもあります。また、100%のテレワークができず、半分以上のチームが「オフィス勤務+テレワーク」の組み合わせで、担当を交代して行うという対応でした。

 スレットインテリジェエンス的な分析ならば現場にいる必要がないのですが、逆にフォレンジック調査の場合はどうしても現地対応が必要になります。

 このようにCSIRT活動では現場にいなければならないケースがあります。その辺りとテレワークの兼ね合いが難しいというようなことは議論の中でも出ていまして、CSIRT全体をテレワークで行えるかどうかは、今後の課題になってくると感じております。

緊急事態宣言下では、オフィス勤務とテレワークの組み合わせでCSIRT活動を行っていたケースが6割を占めており、インシデント対策の検討が求められる

テレワーク、働き方改革を前提とした規定やマニュアル、経営層の理解も必要

――テレワークを事前に準備していても、全社的に行うのはハードルが高いということでしょうか?

 インフラの整備というのは一番大きなボトルネックで、可用性を維持するというのが重要なポイントになってきます。一方、先に説明したようにインフラ回りまで担当しないリスクマネジメントとしてのCSIRTもあり、企業ごとに課題が異なります。

 すでに基幹システムがクラウドならば、勤務場所が問題になることはないでしょうが、境界防御でのオンプレミスシステムで業務を行っていた会社が大規模なテレワークを実施するとVPN接続ラインがひっ迫してしまいます。

 今まで境界防御的なオンプレベースの規定になっているのに、いきなりテレワークをクラウドを使って行うみたいな話になってしまうと規定と整合性が取れませんので、そこを整備しなければいけません。

 オンプレミスの社内システムに「非常時だからVPNを通して使う」というのはどうしてもグレーなところが出ます。それを承知でテレワークに移行しているため、後追いで規定類の整備などを見直したところが多かったと思います。

 そういう意味ではCSIRTがインシデントに対応するだけでなく、事前の教育や予防措置まで踏み込み、「リスクマネジメントやインシデントに対処しないと事業インパクトが高くなる」ということをCISOやCSOに提言できるアドバイザーとして、経営者と話ができるメンバーがいることが求められるでしょう。

――いわゆる「理系用語を文系用語に翻訳できる人材」ということでしょうか

 そうです。よほどの大手企業でもない限りCSIRTという組織が整備されているところは少なく、メンバーが他の部署に所属し、必要な際にCSIRTとして活動しているところが多いでしょう。これを解消するためには、網羅性のある活動ができるような機能が必要になると思います。

 そこで日本シーサート協議会として異なる会員メンバーを合宿形式で集め、システムの運用だけにとどまらない、広範囲な教育カリキュラム「TRANSITS」を実施しており、知識レベルの底上げを図っています。

 セキュリティ投資に関して言えば、すでにITに依存したシステムを使っており、IT投資全般の費用で見た場合、セキュリティの投資はそんなに多くないと思います。ITコストは当然上げていかないとビジネスが回らなくなってくると思いますが、その辺を経営層が理解できるかどうかが今後、組織として強く生き残れるカギになると思います。

テレワーク主体ならEDRとログ管理、コロナ禍を業務改革の機会に

――オンプレミス中心のシステムでインシデントに備えるためにはどうすればよろしいでしょうか?

 オンプレミス中心だった場合、境界防御は難しいので、インフラの中で認証の仕組みとアクセス制御をどうコントロールしていくか、ということと、ログの監視が重要になるでしょう。

 テレワーク前提になるとシステムへのアクセス数も多く、ログも増えますが、長い間取るというよりは短い期間で何かあったときにすぐにログで分かるようなモニタリングの仕組みが実装されないと難しくなってきます。前提としてEDRを入れておき、何か見つかった場合にログを分析するというかたちです。

 逆にEDRを入れていないと、テレワークでセキュリティ対策をしようと思っても難しく、カバーしきれないところが出てくるでしょう。

――テレワークを当たり前にするためにはさまざまな課題があることが分かりました。ありがとうございました。

 取材を終えて「継続的な検討と改善」が課題になると感じた。BCPは10年前の東日本大震災で大きくクローズアップされたが、BCP対策も1回策定して終わりではなく、効果や新たな課題によって再検討と検証が必要だ。SARS/MERSのような過去のコロナウイルス感染症は幸いにして日本にまで波及しなかったが、当時の流行を契機に十分な検討を行っていれば、コロナ禍でも効果的なテレワークが迅速に実現できた可能性が高い。

 また、クラウドやゼロトラストも極々最近出てきた話ではなく、対応策として検討するべき内容だったはずだ(検討されても、さまざまな状況で導入に至らなかった企業が多いと考えられる)。

 現実にはまだオンプレミス中心、境界防御中心の状況が続いていることがアンケートの結果と村上氏のコメントから受け止められる。もちろん経営者としては投資効果にも配慮しなければいけないし、突然の業務変更には従業員の反発もある。

 CSIRTが問題点を認識していても、経営陣が決断しなければ予算も付かず、業務規程を含めた働き方の変更もできない。CSIRTには今のインシデントだけではなく、将来起こりうるインシデントとその対応策をまとめ、定期的に経営層に分かりやすい文系用語に翻訳して提案できる組織にならなければいけないのだろう。

 コロナ禍は現在も進行中で、現在開発中のワクチンが効果を証明し、全ての人に接種可能になるのは楽観的に見ても来年以降だろう。ビジネスを止めないという観点で言えば、コロナ過はインシデントを減らすための業務改善を行う一大チャンスと捉えることが良いのではないか?と感じた。

 なお、インタビュー時にはCSIRT対応プラクティス集がまだ公開されておらず、この部分での網羅的なお話が伺えなかった。リモートワーク中心の働き方におけるサイバーインシデント対応に興味があれば、今回公表された「CSIRT活動で考慮すべきこと」を一読し、自組織で不十分なポイントを洗い出してみることをお勧めしたい。