CSIRTの役割を担う人は、必ずしもセキュリティ専門家でなくてもよい。金融系の企業ではリスク管理の部署が担当することもある。リスクを正しく認識して、適時にツールベンダーやセキュリティサービスベンダーとのコミュニケーションができればよい。自組織で無理なこと、労力がかけられない部分は外部業者に任せ、意思決定と外部と内部の仲介ができれば、それだけでも対応までの時間を短縮し、リスク低減に大きな効き目がある。
例えば、平常時にはセキュリティツールのアラート監視やログ分析・監査を外部に委託することができる。一般的に、数あるアラートの中から対応すべきものをより分けることや、膨大なログの中からシステムで何が起きているかを割り出すことには極めて専門的な知識や分析スキルが必要とされる。
これを外部の専門家に任せることで、業務負荷を軽減できるだけでなく、正確さの向上も期待できよう。また、セキュリティ診断、監査、インシデント対応体制や手順の規定を、専門ノウハウに基づいて実施してもらえる。インシデント発生時には、初動対応を任せたり、フォレンジックによる原因究明、復旧作業、再発防止策の支援を受けたりすることが可能だ。
意思決定はさまざまな段階で必要になり、最終的に経営層の判断を仰ぐ局面もあるだろうが、多くはCSIRTの役割だ。その判断の主な根拠になるのがアラートやログ情報だが、その量を絞り込み、重要なものを明らかにして迅速に判断できるようにするのにも、外部サービスは有効だ。
IDSやIPSをはじめとした不正アクセス検知デバイスを24時間365日監視する不正アクセス監視サービスでは、監視対象システムに影響のない攻撃の検知イベントを独自ツールで99.999%フィルタし、さらにそこから専門家による分析を経て、本当に危険なイベントだけを割り出して報告するものもある。危険な不正アクセスを検知してから15分以内に緊急連絡を受けられるという。
標的型攻撃には、ウイルス感染を図る脆弱性や、攻撃方法、利用するウイルスのタイプなど、共通している部分があることが多い。メールの件名や本文なども同様だ。標的となった組織やセキュリティ関連団体などが発信する情報には、そうした情報が含まれていることがあり、大いに対策の参考になる。
また、金融やテレコムなど業界ごとにISAC(セキュリティ情報共有組織)が組織されていて、コミュニティーでの情報交換も非常に重要な示唆が得られる。日本CSIRT協議会でも参加組織の情報交換が盛んに行われている。こうした組織間、CSIRT間の横のつながりによるコミュニケーションは、情報の鮮度が高く、対策に有益だ。
特に脆弱性情報、攻撃・事件の情報に関して組織内のCSIRTは敏感でなくてはならない。セキュリティベンダーからの情報提供サービスと合わせて、こうした横のつながりを日ごろから大事にして交流に努めることが、1つの「対策」になりそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。