「私のインシデント対応、これで大丈夫?」――セキュリティの不安を共有し、一段上を目指す取り組みセキュリティ・アディッショナルタイム(18)(1/2 ページ)

日々、手順に沿ってこまごまとしたインシデントに対応しながらも、「本当にこのやり方でいいのかな?」と不安を抱くセキュリティ担当者はいないだろうか。率直に意見を交わすことで、互いの知見を共有し、より良い方法を模索する場を日本シーサート協議会(NCA)のワーキンググループが設けている。事例分析の結果、何が分かったのか紹介する。

» 2017年08月21日 05時00分 公開
[高橋睦美@IT]

情報共有から再発防止策の共有へ

 情報漏えいで新聞沙汰、とまでは至らないまでも、マルウェア感染や不審な通信の検知、データ紛失といったセキュリティインシデントに直面する担当者は少なくないだろう。そんなとき、あらかじめ定められた手順に従って対応しながらも、「本当にこれで大丈夫かな?」という疑いを持ったことはないだろうか。

 サイバー攻撃を仕掛けてくる側がエコシステムを形成し、情報やツールを交換して攻撃をかけてくるのに対し、守る側の連携はいまひとつといわれてきた。しかし相次ぐ被害を前に、政府機関が主導する枠組みやISAC(Information Sharing and Analysis Center)のような組織、そして有志の集まりが動き始めた。攻撃の検出に活用可能な情報、例えばIPアドレスやマルウェアのハッシュ値といった脅威インテリジェンスの共有が進みつつある。

 しかし、もう一段上の「対策」レイヤーとなるとどうだろうか。どの企業の担当者も、報告書やメディアで報じられる事例などを参考に、情報漏えいやWeb改ざんといったさまざまなセキュリティインシデントの再発防止策を考え、改善に取り組んでいる。自分なりに考えられる限りのベストを尽くしているものの、本当にそれで十分なのか、見落としはないかといった懸念に悩まされているのではないだろうか。

 ならば、「三人寄れば文殊の知恵」で、さまざまな企業のセキュリティ担当者が集まって意見や知見を交換することで、より良い「対策」「再発防止策」を実現できるのではないだろうか。そんなアイデアに基づいて、セキュリティ「ナレッジ」の共有と向上に取り組んでいるのが、日本シーサート協議会(NCA)のインシデント事例分析ワーキンググループだ。2017年2月に行われた分科会の模様を紹介しよう。

情報を出し、他者の「視点」を得る

 このワーキンググループでは、実際に発生したセキュリティインシデント事例を、複数の企業のメンバーで構成するグループ単位で分析した。これにより「新たな気付き」を得るとともに、「本当にこのやり方でよかったのか? それとももっと違うやり方もあるのか?」と検討を重ねることで、方向性を確認する場となった。

 技術的な内容だけでなく、組織体制や運用プロセス、ポリシーなどにも踏み込んで解析を加えていることがポイントだ。いわゆる「サイバー演習」とは異なり、手を動かすわけではないが、さまざまな分野の企業の担当者が集まって意見を交換することで、互いに新たな「視点」が得られるように工夫した。

写真1 写真1 守屋英一氏

 実はこの取り組みは、クローズドな形で数年前から実施されてきた。ワーキンググループ主査の守屋英一氏によると、「インシデントの再発防止策には教科書はないし、これが正解というドキュメントもなく、暗黙知のままになっている。これを何とか形式知の形にして共有できないかと考えた」と、その狙いを語っている(写真1)。

 もう1つの大きな狙いは、情報共有が抱える課題の解決だ。「セキュリティに関する情報共有の重要性が指摘されて久しいが、情報を欲しがる人ばかりで、情報を『出す』側は多くない。そこで、このワーキンググループで悩みを相談し、情報を出す代わりに、さまざまな意見という形でメリットが得られる、そんな仕組みを作りたかった」(守屋氏)

 事例としてサンプルになる企業だけではない。分析に加わりナレッジの共有に積極的な企業にも、貢献度に応じて「ポイント」を与えることでモチベーションを高めてもらう仕組みにした。こうした取り組みによって「情報を出してもメリットがないから、出さなくなっていく……という状況を変えたい」と同氏は述べている。

実例を基にディスカッションを通じ、知見を交換

 ワーキンググループでは国内で実際に発生したセキュリティインシデントを扱った。異なる企業から参加した5〜6人のメンバーからなるチームで分析し、原因を示しつつ、それを踏まえた施策や再発防止策、事故発生時に望ましい運用フローなどをまとめ、プレゼンテーションを行った(写真2)。これを、実際にインシデントに遭った企業の担当者も含めた審査員がチェックし、優秀チームを表彰する仕組みだ。

写真2 写真2 インシデント事例分析ワーキンググループでのプレゼンテーションの様子 オブザーバー含め50〜60人が参加した

 2017年2月に開催されたケーススタディの最終発表会では、「Webアプリケーションの脆弱(ぜいじゃく)性を攻撃されて、遠隔操作プログラムが設置され、情報漏えいにつながってしまった」という国内のある企業のケースをサンプルとして取り上げた。4チームが解析を行った結果を紹介。各チームとも、数カ月かけて「Slack」などで意見を交換しながら作業を進めたという。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。