share facebook facebook2 twitter menu hatena pocket slack

2015.07.13 MON

CSIRTフォーラム2015に行ってきました!(後半)

吉田 浩和

WRITTEN BY 吉田 浩和

こんにちは、ひろかずです。

2015/7/2(木)に開催されたCSIRTフォーラム2015 〜これからCSIRTを構築したい方々へ〜 に行ってきましたので一筆書きます。
前半に続いて頑張って書きます。
聞きながら書いたので、抜け漏れあるかもしれませんが、ご容赦ください。

講演 2:

ホスト

山賀 正人 氏 NCA専門委員

セッション内容

CSIRTには規格がない。
各社の実情・現状に則したCSIRTを実装するのがいい。
同業他社でさえ似ていない。
CSIRT FAQ掲載の通り、様々な機能を持ったCSIRTが存在する。

範囲明確にする

対象範囲によって実装も運用も異なる
一部でも、全部でも良い。

  • 社内インフラ
  • ネットワーク経由の顧客サービス用サイト
  • 顧客サイト
CSIRTの理由と経緯

組織によって色々ある、範囲や実装形態に関わってくる

深刻なインシデントの経験
現場の問題意識
事業者としての責任、品質保証
調達要件
監督省庁の指示
他社の動き
実装形態
  • 個人方式(専任担当者のみの一人CSIRT)
  • 消防団方式(コア組織を中心とした仮想組織による実装)
  • 消防署方式(専門組織による実装)

コア部門はある場合とない場合があるが、CSIRTに求める機能や範囲によって変わってくる。

指示・命令に従わせる権限

CSIRTが命令に従わせる権限を有するか否かは、CSIRTによってまちまちである。
権限を有する場合は、セキュリティポリシーの規定に明記されている場合が多い。
業種や企業の新旧にはよらない。
組織の構造やパワーバランスに依る。

インシデント対応を最もやりやすくするために、CSIRTを何処に配置するか、どのような権限を付与するかを慎重に検討する必要がある。

CSIRT構築の障害
これまで :経営層を含む社内の理解を得られない
最近の傾向:CSIRTに対する経営層の過大な期待

CSIRTは手段であり、構築するだけで全てのセキュリティ問題を解決する魔法の杖ではない。
また、組織に合せて作っていくものであるので、教科書通りに行えばいい訳ではない。
理想を高く持っても、できるところから、地道に作り上げることが必要。

構築後のCSIRTが抱えている課題
  • 予算の確保(CSIRTは利益を生まない。)
  • 人材の確保、継続性(個人への依存が高い、やれと言われてモチベーションが上がる訳ではない)
  • 成果の見せ方(頑張ればインシデントは減る=>減ったから要らないよね???)

講演 3:

ホスト

ASY-CSIRT 阿部 恭一 氏 ANA システムズ株式会社

セッション内容

スコープがセキュリティ全部だったのでCSIRTではなく「セキュリティセンター」と呼称している。
ブランディングに係る人間系のインシデント(SNS対応等)も扱ってる。

機能

セキュリティセンター機能(人的分野)

  • 情報提供・教育・問い合わせ対応で底上げ
  • 内部不正調査(抑止、見つける、難化、正当化理由の排除)
  • 人的分野(CSR)と情報システム分野(IT)の連携が必要
スキルセット

コミュニケーション

  • 専門用語を使わずにエンドユーザ、経営者に説明できる
  • 専門用語を使って専門家と話できる

知識

  • セキュリティ知識全般
  • 一般的なIT(ITIL、ツール、ダークサイト等)
  • 関連法令知識(個人除法保護法、PCIDSS、著作権、輸出規制、外為法)

企画

  • ポリシガイドライン策定能力
  • 教育内容策定
  • IRT対応能力(障害対応能力)

上記はチームとして補完する。
スキルセットが明確になっているので、基本スキルベースを定められるし、キャリアパスも組み立てている(人はいつか元の部署に帰っていく)

平常時、インシデント対応時の役割が文献としてあるので、組織体制図に当てはめている。

フォレンジックは外注するにしても、依頼する最低限の内容を定めておく。
そうしないと、フォレンジック会社の言いなりになってしまう…

CSIRT構築の流れ

1.スコープ定義
2.実施する機能の洗い出し
3.機能のグルーピング
4.セキュリティ組織に必要な役割の平常時、有事別の洗い出し
5.体制図のデザイン(部分的なアウトソースや時短職員の登用も出てくる)
6.人材募集

だいたい5から始まる企業が多いのでは…

講演 4:I-SIRT〜設立と活動内容について〜

ホスト

I-SIRT 田中 絵理子 氏 株式会社帝国ホテル

セッション内容

スコープ

お客様の個人情報菱栄サイバー攻撃等ITソリューションに係るセキュリティリスクの極小化

想定リスク

I-SIRT設立前(組織横断で検討)していた:BCP,ハラスメント,食の安全,SNS

加えて個人情報の漏洩:宿泊者情報、会員情報(Imperial Club)、賓客情報、クレジットカード情報

I-SIRT構築までの流れ

準備前:リスク認識からセミナー参加、NCA相談
準備:作業洗い出し、体制構築、事故対応フロー作成、役員への説明(約一年)
加盟:I-SIRT発送、NCA加盟
運用:規定書いてとハンドブック作成、ITセキュリティ担当社設置、研修会実施

組織

仮想組織方式
コア組織は情報セキュリティ部門
権限については、個人情報管理責任者の権限を活用

役割

平時

  • 情報収集
  • IT全般情報の部内周知等を行っている
  • 社内ルールの整備

事故発生時

  • 発生報告
  • 情報収集、事故対応
  • 再発防止策の立案・実施
活動内容

SWGへの参加(ロールプレイの実施)
セキュリティルールの規定整備(ハンドブックの作成)
研修・啓蒙
ITセキュリティセキュリティ担当者を集めてのワークショップ

構築のポイント

自社のリスクと守る米者を明確にする
自社も標的となる可能性
他社の部分的参照はOK。全真似は無理
元からある組織や暁烏と上手く有効して活動する
NCAに協力を仰ぐ

加盟メリット

知見のある人と相談できる
情報収集スピード
非公開情報の入手と時差屋の課題検討に役立つ

講演 5:JCBにおけるCSIRT構築について

ホスト

JCB-CSIRT 齋藤 弘一 氏 株式会社 ジェーシービー

セッション内容

CSIRTの位置づけ

システムリスク管理部署がリスク統括部署他と横断的な仮想組織で構成している

きっかけ

広域脆弱性(SturtusやHeartblood等)に対してリスクコントロールが求められた。

目的

各部対応であったため、全社対策状況

CSIRTを作りたいという動機だと上手くいかない。目的はなにかが重要。
対応の再現性を確保(判断基準・手順がない中でのその場対応を続けるのは辛い)
早期発見の予兆を見つけて対応したかった
問題が起きてから慌てたくない(確認・対応には時間がかかる)
目的の整理から入るのが肝要

機能

ポイント

自社に必要なCSIRT機能を見極める
すでにある機能の有効活用
不足機能の構築

全部のせは大変
一歩ずつ構築
クリティカルな部分から始める

具体機能

全社コントロール機能(全体進捗管理・経営報告等)
情報収集緊急通報社内連携機能(全社と現場と繋ぐ機能)
インシデント検知ハンドリング(現場系:SOCログ調査・初動対応 等)

CSIRTは全部ではなく、分担することでもよい

整理すべきファクト

以下整理することで、CSIRT構築の促進に役立つ

経営理解はあるか?
全社緊急事象対応体制の有無(セキュリティインシデントに問わず)
管理すべきシステム資産やサイト情報を保有している?
個別システム資産やサイト情報のセキュリティ対策運用ができているか?

世の中のインシデント情報を収集し、対応を判断する機能があるか
全社に横串を指すための基礎情報と手段(担当者情報)
CSIRT活動に足る技術的知識

整理すると後半3つの機能がないことに気付いた

世の中のインシデント情報を収集し、対応を判断する機能があるか

  • 外部有識者に情報情報クローリングと収集情報の判断基準・対応手順の整理

全社に横串を指すための基礎情報と手段(担当者情報)

  • 対象システムの連絡網整理(平時夜間to/cc)
  • 収集情報を社内関係者へ伝える基準の整備

CSIRT活動に足る技術的知識

  • テクニカル支援部隊の確保及び人材育成

講演 6:NTT-CERTはいかにして長生きしてきたか、そしてこれから

ホスト

NTT-CERT 今野 俊一 氏 NTTセキュアプラットフォーム研究所

セッション内容

長く続けきた観点でのお話でした。

組織の特色

独立部門で60名構成。権限移譲型ではない事が特色
本社の内部統制機能とは完全に独立(補完関係)
珍しいかもしれないが、NTTはこれがフィット

長生きの秘訣

組織改廃が激しいが10年間存続していく
草の根文化

  • ボトムアップ制:みんなで詳しくなっていった、ボランディア型
  • トップによる保護、理解(長い目で見てくれた)
  • 行動指針をみんなで作った

他組織との役割分担

  • 周囲と異なるスコープで住み分けられた(短期・中長期の住み分け)
  • 組織全体のポートフォリオが豊かになった

幅広い人材

  • 様々な分野(IT、研究開発、事業経験 等)で詳しい
  • メンバーの出身畑が幅広い事でストライクゾーンが広がる
  • 継続的な人材確保の取り組み

現場ニーズを吸収展開

  • 良い情報、悪い情報が集まる事でみんなが先ず聞きに来る組織になった。
  • よろず相談を受ける中でニーズの目利きができるようになった
  • アンテナ的存在としてアピール

具体的な貢献

  • 地道な現場支援(現場のフィードバックで、サービスを常にアップデート)
  • 具体的なアピールと現場の後押し(生きた数値と社内規程への組み込み)

番外編

  • 運の要素(最高幹部へのアピール、周囲の後押し、世の中を騒がすインシデント)
  • 人事を尽くす
今後に向けて

1.外を見る

  • 実環境からの乖離で世間知らずになる(実環境の知見が必要)
  • セキュリティ目線で触れてみる(コンテナ、IoT、Drone 等)

2.共有する

  • 差し支えない範囲で積極的に共有(知見、自己研鑚の成果、、、)
  • CSIRT間で支えあう

3.提供する

  • 提供サービスは見直しをし続ける(現行サービスに必要なリソースの削減とリソースの再投資)
  • 提供すべきサービスは変化していく。
  • 1-2が無いと3も無い。

講演 7:サイバーセキュリティ戦略と体制

ホスト

安田 浩 氏 東京電機大学(CySec)/ 須藤 修 氏 東京大学(UT-SISR)

セッション内容

課題と戦略
  • サイバー攻撃を防げる人材(T-CIRP,CIRP,CIRT),国産技術が不足している
    • 大学連携での人材育成
      • 法知識、フォレンジック活用能力、サイバーディフェンス能力の育成
      • 演習用擬似インターネット環境構想
    • CySに関する国際標準の制定働きかけ
      • 自分の技術を持たないものに、サイバーセキュリティは守れない
  • T-CIRPへのキャリアパスがない
    • 国家免許制度の啓発
    • 尊敬してもらえる仕事にする
  • 国全体でCyS意識が低い
    • 産官学連携
戦略
  • CyS育成プログラム
    • 東京電気大学では国際化サイバーセキュリティ学特別コースを制定
    • 社会人・女性・子育て層等の広義はオープン化し、夜間・土曜日集中講義を行う
    • https://cysec.dendai.ac.jp/
  • CyS研究所の創設
    • セキュリティセンターを中心にインターンシップと各種技術の共同開発を行っていく

以上です。
お疲れ様でした。

元記事はこちら

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。