本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

最新情報

2016.01.19

CSIRT構築ブームの後に

 流行のキーワードに飛びつくのは良くも悪くも日本人の「癖」かもしれません。サイバーセキュリティの世界も例外ではないようです。

 2015年は標的型攻撃による情報漏えい被害が大きく報じられました。この結果、巧妙かつ執拗に侵入を試みる攻撃を100%防止することはできないという認識が広がり、侵入はあり得ることを前提に、早期検知と復旧に取り組む対応の重要性がクローズアップされています。

 そこでブームの様相を呈しているのが、セキュリティインシデント(事故)の対処に当たる「Computer Security Incident Response Team(CSIRT)」の整備です。日本シーサート協議会への問い合わせも増えており、加入者組織は100社を超えているそうです。

 しかし、CSIRTという組織を作っても、それだけでは意味がありません。CSIRTが機能するためには、適切な調整・コミュニケーション能力を備えた人材のアサインや育成と、脅威の発生を可視化し問題の所在を特定する「Security Information and Event Management(SIEM)」などの仕組みが必要になってきます。

 「貴社の情報が、攻撃者が利用していると思われるネット上のサーバに存在しています。標的型攻撃の被害を受けていませんか」そんなインシデントの連絡が、たとえばJPCERT/CCのような外部の組織からあったらどうすればいいでしょう。

 そんなとき、平時からSIEMによるモニタリングが行われていれば、その情報と付き合わせることで、「どの端末で問題が発生しているか」を迅速に特定することができます。SIEMは、単なるログ収集以上の効果を発揮するのです。

 SIEMが収集した多くの情報の中から「どれがノイズか」「どれがリスクにつながる恐れがあり、アラートとして取り上げるべきか」を判断するためには、社内のネットワーク環境の理解が不可欠ですが、同時にセキュリティインシデントの対応の経験を持つセキュリティプロフェッショナルの手による「正しいSIEMのチューニング」も重要になります。