• 会員限定
  • 2023/08/30 掲載

CSIRT構築もインシデント対応に6割「自信なし」 絶対に後手にしてはいけない3要素とは

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
企業のセキュリティ・インシデントの増加に伴い、迅速かつ適切に対応するための組織「CSIRT(Computer Security Incident Response Team:シーサート)」の重要性が高まっている。しかし、セキュリティの対象範囲が年々広がるとともに、問題が複雑化する中で、自社でインシデント対応できるのかと不安を抱いている企業が多いのも現状だ。インシデント・レスポンスはなぜ難しいのか、その「漠然とした不安」を払拭するため、ガートナー シニアディレクター,アナリストの矢野薫氏が解説する。
photo
ガートナー
シニアディレクター,アナリスト
矢野薫氏

CSIRT設置もインシデント対応には「自信がない」ワケ

 ガートナーのユーザー調査では、日本企業の56%がCSIRTを設置していると回答した。 CSIRTを設置している企業のうち、「インシデント・レスポンスに対して自信がない」という項目において「非常にそう思う」が14%、「ある程度そう思う」が53%と、合計で6割以上がインシデント対応に自信がないと回答した。

「CSIRTの設置率が高いにも関わらず、この状況であるのは危機的だと思います」と語るのは、ガートナー シニアディレクター,アナリストの矢野薫氏だ。

 なぜインシデント対応に不安を感じる企業が多いのか。矢野氏は考えられる理由を3つ挙げた。

 1点目は「インシデント・レスポンスに対する期待値」である。2015年に経済産業省が「サイバーセキュリティ経営ガイドライン」を発表したことで、インシデント・レスポンスに対する意識が高まったという。

 そこで、CSIRT構築ブームも始まり、知名度と期待値が跳ね上がった。しかし、CSIRTの構築は本質より形や名前から始まった部分が大きく、達成目標を設置していなかったために結果的に形骸化を招いてしまったという。

 2点目は「インシデント・レスポンスの対象範囲の拡大」である。セキュリティの範囲は年々広がり、サイバーセキュリティやOTセキュリティ、IoTセキュリティといったように保護対象は多岐にわたる。そのため、今までのITセキュリティの常識がそのまま適用できるわけではなく、カバーできないケースが生まれてくる。

「セキュリティ部門がITの領域を100%わかるかというと、そうではありません。そのため、全容が分からず、どう対応したらいいのか不安を感じてしまうのだと思います」(矢野氏)

 3点目は「想像以上に根深い『組織分断』や『対立』の問題」である。IT/セキュリティ部門は今まで培ったセキュリティの経験や知識をもとに、事業部門と協力体制を構築したいと考えるが、事業部門にはIT/セキュリティ部門にポジティブなイメージがなく、距離を取られることも多いという。このように組織的感情論から十分な部門間連携が取れない場合がある。

「すべての企業がそういうわけではないですが、こういった悩みを持っている企業の方々が多いのも事実です。この問題だけではありませんが、セキュリティの組織体制がうまくいかない事象の1つでもあるという意識は持っていいと思います」(矢野氏)

早期発見には全体俯瞰から“つながり”を見る

 この3つの問題点について、「放置しておいていい問題ではありません。このままではインシデント・レスポンスが後手に回ってしまう可能性があります」と矢野氏は警鐘を鳴らす。

 そのためにも企業はインシデントに素早く対処する必要がある。矢野氏は特に後手に回してほしくない3大要素を挙げる。

 1つ目は「とにかく早く脅威を見つけること、探し出すこと」である。

 インシデントの早期発見を行うために、企業ではNDRネットワークログやEDRエンドポイントログから個別にインシデントを検知してきた。しかし、サイバー空間と物理空間がつながっている現代においては、個別でのインシデント検知だけでは早期発見は難しいとい考えられる。

 そこで矢野氏は「個々の情報をつなぎ合わせ、一段上から俯瞰して捉えられるようなアプローチをとるべきです」と説明する。また、その際に重要なポイントとしてはさまざまなデータを取り込める自由度があること、大量のデータを保持できる仕組みがあることだ。

画像
個別の視点から全体を俯瞰できるような視点を持つことが重要
(出典:Gartner(2023年7月))

 一方で、インシデントをいち早く見つけるためのアラート設定において「人が少ないから管理できない」という声もあるという。これに対し矢野氏は「ある程度テクノロジーの力を使うべきです」と主張する。

「機械化や自動化という話をすると全部をいきなりテクノロジーに任せると思われがちですが、あくまで機械化・自動化の前提は“分業”です」(矢野氏)

 たとえば、脅威情報においては人間が感知できるものと機械でしか感知できないものと2種類ある。機械が読み取る脅威情報では、自動的にアラートの処理まで完了させることができ、最も効果が期待できるという。

 では、人間が読み取るべき脅威情報とは何か。矢野氏は「『次は何が狙われるのか』という先回りの調査をしてください。そうすることでインシデントを早く探し出すアプローチにもなります」と語る。

「100%アウトソーシングする、100%機械化する。そういう考えを少しだけ変えていくと、ちょっといい未来が待っているかもしれません」(矢野氏) 【次ページ】インシデントの初動対応で最も重視すべきもの

関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます