CSIRTはなぜ必要なのか?

サイバー攻撃が拡大するにつれ、注目を集める「CSIRT」。その先駆者の1つであるジャパンネット銀行のCSIRTチーム「JNB-CSIRT」が連載を通して「CSIRTとは何か?」「CSIRTの運用はどうやるの?」といった疑問に答えます。

企業のサイバーセキュリティ対策としてCSIRT(Computer Security Incident Response Team)の構築・運用が広がりつつあります。国内のCSIRT活動を推進する「日本シーサート協議会」の登録数は2016年11月1日時点で180を越え、数年前の状況と比較すれば隔世の感があります。

ただ、社内調整がうまく進まずにCSIRTを立ち上げられていない企業や、CSIRTを立ち上げてはみたものの、「何をすれば良いのか分からない」といった声は依然としてよく耳にするところです。

ジャパンネット銀行は、7名体制の「JNB-CSIRT」を2013年9月に設立。その後、さまざまな経験や体制変更を経ながらも成長してきました。この連載では、約3年に渡るJNB-CSIRTの活動を、実業務上の成功談と失敗談を交えながら、CSIRTメンバーのリレー形式で紹介していきます。

そもそもCSIRTとは?

CSIRTの日本語訳は、「コンピュータセキュリティインシデントへの対応を行う組織」ですが、漠然とした印象そのままに、その実態は各社さまざまといっていいでしょう。JNB-CSIRTは比較的設立が早く、雑誌取材や、ITベンダー、公的機関主催セミナーにおける講演の実績からさまざまな企業からCSIRT運営について質問をいただいています。

その際に、よく聞かれる質問が以下の4点です。ここでは、これらの質問に答えるかたちで、JNB-CSIRT運営の概要をご紹介します。

1. どういう人材で構成されているか?
2. 社内における位置付けは?
3. インシデントが発生していない時の業務は?
4. CSIRTを運営するコツは?

どういう人材で構成されているか?

JNB-CSIRTは、IT関連部門のメンバー10名で構成されており、名義上の”バーチャルな組織”です。

• サイバーセキュリティ対策専任部門:4名
• ITガバナンス担当部門:2名
• Webアプリケーション開発部門:2名(育成枠1名含む)
• インフラ開発部門(OA基盤含む):1名
• 基幹系アプリ開発部門:1名(育成枠)

CSIRTの中核を担うのはサイバーセキュリティ対策専任部門ですが、その他の選出にあたっては次のような観点を重視しています。

• インシデント発生時の対応や影響調査を迅速に行うため、システム開発部門のメンバーを中心に選出
• 社内連携を円滑にするため、ITガバナンス部門から選出
• 将来を見据え、若手2名を育成枠として選出

また、必要なときにそれぞれの部門の人員を動かし易くするため、各部門の役職者(グループ長以上)を選任しています。育成枠メンバーについては、社内向けセキュリティ基礎研修の講師に据えることで、スキル向上を図っています。

社内における位置付けは?

特別な権限は付与されていないものの、リスク管理委員会(全社のリスクをハンドリングする経営会議レベルの会議)の直轄組織に指定されており、セキュリティ事案に関わる必要な勧告を社内各所に行うことができます。

インシデントが発生していない時の業務は?

インシデントがない時は基本的にあまりないと言ってもいいかもしれません。弊社の事例にはなりますが、1日数件はインシデント(未遂含む)が検知されるためです。もちろん、専任部門であるサイバーセキュリティ対策室以外のメンバーは、基本的にそれぞれの本業、システムの企画開発や管理業務を行っています。

一方で専任の4名は、日々のインシデントモニタリングや、モニタリングの仕組みの改善、各種セキュリティ施策の企画/推進、社内外からのセキュリティ関連の問い合せ対応、「金融ISAC」などのワーキンググループ活動、社内啓蒙、研修企画といった、サイバーセキュリティ全般の仕事を行っています。

CSIRTを運営するコツは?

客観的に「うまく運営できている」という判断は難しいところですが、メンバーが社内外で一定の評価を受けており、それぞれの役割を果たしながら、成長している実感はあります。また、セキュリティインシデントの発生件数も低く抑えられていることから、犯罪者に先回りした対応ができているという数字の表れもあります。

これらの成果に至ったポイントとしては、以下の3点があると私たちは分析しています。

現場で実戦経験を積んだこと

やはり「現場のインシデント対応を経験する」ことが最も重要なことではないでしょうか。メンバーが直接ログを見て、実際に封じ込め対応を行うなどの作業によってスキル向上に繋がったと考えています。

好奇心を持てるメンバー

スキルありきではなく、「好奇心」が重要だとJNBでは考えています。CSIRTメンバーは元々セキュリティ専門家であったわけではありません。そんな人材であっても、発生するインシデントに対して、追い詰められながらも、良い意味で状況を面白がるようなつもりで取り組んでいます。CSIRTにはそういった自由な雰囲気も大切だと考えています。

経営の理解または後押しがあること

ここが大切なポイントで、最大の「コツ」と言ってもいいでしょう。経営陣の理解があってこそ、必要な人材や仕組みを整備することができました。

CSIRTの「先駆者」になった理由

JNBはネット専業銀行です。ネット専業だからこそ、セキュリティインシデントが日々の業務に重大な影響を与えます。ただ、これからの時代、ネット企業であろうと、リアルのサービス企業であろうと、ネットは欠かせない存在です。

私たちはネット企業として、「先駆者」という形でCSIRTに取り組んできました。私たちの環境がすべての企業のセキュリティ担当者、情報システム担当者の環境に当てはまるとは思いませんが、「なぜいち早くCSIRTに取り組めたのか」を以下で説明しつつ、次回以降に解説する「具体的なCSIRT運用のポイント」を参考にしていただければと思います。

ネット専業銀行という立ち位置

私たちはネット専業銀行ですから、実店舗がなく、ATMや電話を除けばネットが唯一の「お客様窓口」となります。この窓口がサイバー攻撃を受けて不安定になり、不正送金が発生して「安心して取り引きできない」となると、お客さまが離れる要因になります。

24時間365日安心して利用していただくためには、セキュリティが最優先事項であり、お客さまの取引や資産を守るために必要な施策を積極的に行うことが、当然の取り組みになります。そのため、コスト増大を承知の上でチャレンジングな施策も採用してきました。

例えば、ワンタイムパスワード用トークン(※1回使うと無効になるパスワードを表示する専用機器で、未登録先への振込時は必須)をすべてのお客さまへ無償配布することも他社に先んじて行いました。

また、サイバーセキュリティは企業単独で対応するには限界があることから、金融ISACを始めとする共助活動にも積極的に参画し、情報発信を行っています。

サイバー攻撃を受けた過去

これはCSIRT設立以前の話ですが、2011年にDDoS攻撃を受けた経験があり、数時間に渡ってサービスが停止する事態に陥りました。実はその時点でもDDoS攻撃対策の仕組みは存在していましたが、攻撃を防ぐ設定の甘さや、ベンダーとの連携に不備があり、これを防ぐことができませんでした。

この失敗を機に、さまざまな施策をベンダー任せにせず、仕組みや動作の詳細がハンドリングできる製品・サービスを選び、その中身を精査、理解して取り組むように、考えを改めました。また、複数の対策を組み合わせることで、少しでも穴を埋める「多層防御」も徹底しています。

トップダウン型の組織

こうした背景から経営層の意識が高く、トップダウンでセキュリティへの取り組みが進んでいることも重要な要因となっています。社員数は約300名と比較的コンパクトな企業であり、経営層との距離が近く、セキュリティインシデントについても密にコミュニケーションが取れています。

このため、不正送金の頻発や大規模な情報漏洩事案といった世の中の状況を適時に捉え、トップダウンで全社横断的なプロジェクトチーム(PT)を組成し、必要な対策をスピーディに進められています。