多様化する脅威に立ち向かうCSIRT、ジャパンネット銀行が体得した3つのコツ

サイバー攻撃は巧妙化し続け、内部関係者の不正や人為的ミスも後を絶たない。セキュリティ脅威を水際で完全に防ぐことは、もはや不可能だといっても過言ではないだろう。そこで注目されているのが、セキュリティインシデントに対処するための組織「CSIRT(Computer Security Incident Response Team、『シーサート』と読む)」である。ではCSIRTの設置や運用を、実際にどのように進めていけばいいのか。ジャパンネット銀行の事例を通じて、そのポイントを解説していく。

サイバー攻撃を水際で防ぐことはもはや不可能

顧客情報や技術情報など、機密にしておくべき膨大な情報を企業システムは蓄積している。これらの情報が社外に漏えいしたり、使用不能な状態にされたりすることで業務が停止する事態は、回避しなければならない。

しかしサイバー攻撃は日々巧妙になっており、内部関係者の不正や人為的ミスによる脅威も後を絶たない。ファイアウォールやIDS(Intrusion Detection System)/IPS(Intrusion Protection System)などの不正侵入防止システムを設置したとしても、サイバー攻撃を水際で防ぐことは不可能である。

しかも最近になって、アンチウイルスソフトウェアの限界も指摘されている。以前はマルウェアを感染させることが攻撃手法の主流だったが、最近ではマルウェアを使わない「非マルウェア攻撃」の比率が増えているからだ。

このような状況の中、注目が高まっているのが「CSIRT」である。セキュリティインシデントに対処するための組織のことで、これを社内に設置しようという動きが加速している。

CSIRTが果たすべき基本的な機能は、インシデントの発生をいち早く検出し、それに対して早期に適切に対応して被害を防止することと、その後のセキュリティ対策を継続的に改善していくことである。また他の企業・組織のCSIRTと連携し、情報交換などにより防御力を高めていくことも、重要な役割といえる。

それでは実際に、CSIRTの設置はどのように進めていけばいいのだろうか。そしてその効果を最大限に発揮させるには、どのような取り組みが必要なのか。ここでは日本初のインターネット専業銀行であるジャパンネット銀行(JNB)の事例を紹介しながら、注目すべきポイントについて解説したい。

富士通のアセスメントで課題を明確化しCSIRTを設置

JNBは、2000年10月に開業したインターネット専業銀行であり、24時間365日いつでも取引が可能で、顧客全員にトークン式ワンタイムパスワードを無償配布するといった特長を持つ。口座数は約350万、預金残高は約7000億円に達している。

JNBがCSIRT立ち上げの検討を始めたのは2012年4月。そのきっかけは2011年にDoS(サービス妨害)攻撃を受け、1時間程度サービスが停止したことだったと、ジャパンネット銀行 IT統括部 サイバーセキュリティ対策室長の岩本 俊二氏は振り返る。

「以前から独自の対策を取っており、インシデント発生時は社内の有識者を集めて対応を協議していたのですが、攻撃の手口が高度化しているため、こちらも対応策を見直すべきだと考えました。そこでまずは他社の事例を研究するところからスタートしたのです」。

当初は独立した組織を立ち上げ、そこに十分なリソースを配分しなければならないと考えていたと岩本氏。しかし2013年5月に日本シーサート協議会が開催したフォーラムに参加して、その考えが大きく変わったという。「ある企業のセッションで『ひとりCSIRT』という言葉を聞き、ミニマムな形で始めても構わないのだと気付かされました」。

その後、CSIRTにとって本当に必要なものが何かを明確化したいという思いから、富士通の「クラウドCERT(セキュリティの脅威に対して迅速に対応する組織)」によるアセスメントを受ける。ここで「セキュリティ事案の緊急時対応計画は既に整備されており、全社的な認識もなされている」と評価を受けたが、同時に3つの課題も指摘されたという(図1)。「富士通の知見を活用することで、自分たちには既に何があり、何が不足しているのかが、はっきりと分かりました」(岩本氏)。

第1の課題はインシデント対応訓練が未実施だったこと。そこで2013年6月にフィッシングメールを想定した訓練を実施した。現在も年2回の訓練を継続しているという。

第2は、対策が社内有識者の協力によって成立していたこと。

属人性の高い状況から組織的な対応に切り替えることが求められた。この問題を解決するため、2013年9月に7人の兼任メンバーで「JNB(ジャパンネット銀行)-CSIRT」を設置。同年10月には日本シーサート協議会へも加盟している。

そして第3の課題となったのが、ログ解析や情報分析が部分的ということだった。セキュリティに関する全てのログを集約し、全体像を把握する仕組みを確立する必要があったのだ。

図1:ジャパンネット銀行(JNB)はなぜCSIRT機能の評価をしたのか 図1:ジャパンネット銀行(JNB)はなぜCSIRT機能の評価をしたのか

続きは、こちらからお読みいただけます

多様化する脅威に立ち向かうCSIRT、ジャパンネット銀行が体得した3つのコツ

概要

  • サイバー攻撃を水際で防ぐことはもはや不可能
  • 富士通のアセスメントで課題を明確化しCSIRTを設置
  • Splunk導入で攻撃を可視化し不正送金を未然に防止
  • CSIRT設置・運用を成功させるための「3つのコツ」

ページの先頭へ