セキュリティー新時代(8)CSIRTとPSIRTでサイバー事故に備える

2018-10-18

まず社内システム 万全に

サイバー攻撃からネットワークにつながる製品を守るには、企画や開発や製造段階の対策だけでは済まない。社外への販売後に起きうる事故への対処を含めて、どんな仕組みをつくればよいのだろうか。今回はその前提となる、社内の情報システムを守る体制についてまず説明したい。

多くの企業が社内のIT(情報技術)環境を守る組織を持つ。会社によって名前は異なるが、CSIRT(シーサート、コンピューターセキュリティー事故対応チーム)という組織が担っている。

CSIRT(Computer Security Incident Response Team)とは

高度なCSIRTは自社のネットワーク機器やパソコンのログ(履歴)、通過パケット(データ)を分析し、利用状況を常時把握する。自社でセキュリティーツールを導入する場合や、外部のセキュリティー監視センター(SOC)にアウトソースする場合がある。

異常値を検知する手法や人工知能(AI)で不審な振る舞いを検知する方法がある。最近ではおとりの偽情報を用意し、侵入を検知する方法(ディセプション)が登場している。

「営業時間外に社外へ大量のデータのアップロードが発生」「今まで使ったことがないグローバルIPアドレスとの通信が発生」「偽の認証情報を利用してデコイ(おとりサーバー)へアクセスが発生」といった事象を検知したら、内部の不正やマルウエア(悪意あるソフト)の感染が疑われ、すぐに対応する必要がある。

サイバー事故が発生したら、CSIRTが関係部署を巻き込み、対応する。影響度・緊急度を基に優先順位を判断し、社内外への被害を最小限に抑えるために暫定的な対応や恒久的な解決を行う。また、外部への公表の要否について経営層が判断できる情報を報告し、公表が必要となる場合は関係部署と連携する。

事故を未然に防ぐために脅威・脆弱性への対応も欠かせない。昨年、猛威を振るった身代金要求型ウイルスのランサムウエアは、OS(基本ソフト)の脆弱性を利用して、感染を拡大させる機能を持つ。どの端末に脆弱性が存在するのかを把握し、迅速に対応すれば被害を防げる可能性がある。

工場のセキュリティーもCSIRTが担うことが期待されている。オフィスのIT環境と工場では設備が異なるが、ハンディー端末などOSが同じである機器も多く、CSIRTの枠組みで対応することができる。

販売後の事故に備える

社内の情報システムを守る仕組みをCSIRT(シーサート、コンピューターセキュリティー事故対応チーム)で整えた。では、社外に販売した世の中に流通する自社製品に脆弱性が見つかったり、万が一のことが起きたりしたらどうするか。平時の監視や情報収集も含めた製品のセキュリティーを担う社内組織が、PSIRT(ピーサート、製品セキュリティー事故対応チーム)である。

CSIRTが主に社内を対象としているのに対し、PSIRTは主に社外に出回る自社の製品(プロダクト)を対象とする。CSIRTと同様、セキュリティー情報の収集や異常の検知、見つかった問題の分類・分析、問題解決に向けた製品の改修、修正した製品の公開などを担う。PSIRTにはこれらに加え、社内外の多様な利害関係者との連携、製品特性に合わせた事故対応方針の立案、製品事故を発見する仕組みの開発などの役割があり、従来の品質管理活動と協調することが求められる。

PSIRTの位置づけ

製品のセキュリティー上の脆弱性が従来の品質上の不具合と違うのは、被害が発生するタイミングを予測をしにくい点にある。サイバー攻撃は攻撃者の動機や実行環境が整い次第、突如として起こる。また、製品の脆弱性や攻撃方法が明らかになるにつれ、攻撃者の数と激しさが増すことも多い。

迅速に対応するには事前の調査や日ごろの活動が欠かせない。「つながる製品」は技術構成も納入先での利用形態も多種多様で、脆弱性の重大度合いや対応策・対応時期の判断を業界標準のような形で定型化することが難しい。ソフトウエアの脆弱性から製品に対する影響度をいかにして算出するか、改修の要否やタイミングを最終的に判断するのは誰か、妥当性をどのように検証するかなどを前もって決めておかなければならない。

また、製造工程の関係者も多岐にわたり、責任をどこで分けるかその明確化も重要だ。組織で定めたセキュリティー水準を部門や個人に関係なく均一に保つには、組織ごとに、それぞれの事情に応じた実効性のあるプロセスや体制、ルールを整える必要がある。

脆弱性をいち早く検出し、適切な初動対応を進めることで、その後のビジネス上の損失や風評被害を大きく低減することができる。PSIRTによる製品販売後のセキュリティー運用があって初めて、設計や開発・製造時の安全性を高める工夫が効力を発揮する。

安井 智広

マネージャー, PwCコンサルティング合同会社

Email

守屋 聡

ディレクター, PwCサイバーサービス合同会社

Email

※本記事は、日本経済新聞社 日経産業新聞「戦略フォーサイト」コーナーに、「セキュリティー新時代」をテーマに2018年8月21日から9月12日に連載された記事の再掲載となります。

※本記事は、日本経済新聞社の許諾を得て掲載しています。無断複製・転載はお控えください。

※法人名、役職などは掲載当時のものです。


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}