CSIRT(シーサート)をご存じですか?
「Computer Security Incident Response Team」の頭文字を取った略語で、コンピュータセキュリティに関するインシデント(事故)が発生した時にその対応をする組織体のことです。当社でも SBT-CSIRT という名前の組織内 CSIRT が24時間365日活動していますが、皆さんの組織でも CSIRT が人知れず地球防衛軍のようにセキュリティインシデントの発生を防いでいるかもしれませんね。
CSIRT を消防署や消防団に例えると、その役割として119番(通報窓口、ヘルプデスク)、消火活動(被害の極小化)、火の用心・発報(検知と警戒)、防火(教育・啓発)があって、インシデントが発生してから動く活動と、発生することを前提に事前対策を施す活動の両方を担っています。
一般の火災事故とは異なり、セキュリティインシデントにおいてはサイバー攻撃者という敵がいるということと、コンピュータの脆弱性と対峙しなければならないことから、攻撃を防御する、あるいは被害を極小化するためには企業や大学などの組織同士が連携することが有効な対策になります。
その組織間連携を促進する協議会が、一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会(通称:日本シーサート協議会、以下、英略称「NCA」)です。
その NCA の年次会合「NCA Annual Conference 2021」が、12月16日(木)、17日(金)の2日間、当社のセミナールーム、会議室を使って行われました。 当社は、会場を提供するとともに、ゴールドスポンサーとしてこのカンファレンスを支援しています。今回は、このカンファレンスをレポートします。
「NCA Annual Conference 2021」のテーマ
今年のテーマは、「理想と現実のはざまで、極めろ! ~ CSIRT の守・破・離を考える ~ 」です。
「守破離」は、元々は千利休が茶道で使った言葉ですが、物事を学ぶ際の基本姿勢として受け継がれてきました。
修業に際して、まずは師匠から教わった型を徹底的に「守る」ことから始め、次に自分に合ったより良いと思われる型を模索し試すことで既存の型を「破る」。さらに鍛錬・修業を重ね、型に囚われることなく、言わば型から「離れ」て自在となることができるということです。
これを CSIRT に当てはめると、先行事例やガイドラインという型をお手本にして CSIRT を構築し運用体制を整備する、そしてその型を破って自社に合った形にアレンジすることで、より効果的、効率的なチームへと成長させる。さらには既成の CSIRT という概念から離れ、組織としての基本的な機能、組織としての一般的な役割へと昇華することに挑戦する、ということになります。
このように CSIRT は作って終わりではなく、常に CSIRT の成熟度を高め、組織内外の状況の変化に合わせて変えていくことが大切なのです。
そこで、それぞれの CSIRT を「守破離」という視点から見つめなおして、段階を踏んで CSIRT を成熟させていくためにはどのようにすればよいかを皆で考えよう、ということで、今年のテーマを「理想と現実のはざまで、極めろ! ~ CSIRT の守・破・離を考える ~ 」としました。
デジタル庁 CISO 坂 明 氏の基調講演
デジタル庁 CISO 坂 明 氏の基調講演で始まりました。テーマは「TOKYO2020におけるサイバー脅威への対応とデジタル社会へのレガシー」です。
オリンピック・パラリンピックという一大イベントに対するサイバーセキュリティを経験したことで、今回の施策、計画、対応がレガシーとなり、今後、国内において大規模イベントを開催する際の標準となるということです。
既に、概要はメディアでも公開※1されていますが、東京オリンピック・パラリンピック競技大会組織委員会 CISO を務めた坂 氏から直接お話しいただくことで、緊迫感が伝わってきました。
- NHK:東京オリ・パラ期間 サイバー攻撃 4億5000万回 運営に影響なし(2021年10月21日)
- サイバーセキュリティ戦略本部 第32回会合(2021年12月14日) 資料4:東京オリンピック・パラリンピック競技大会におけるサイバーセキュリティ対策の結果等を踏まえた今後の取組方針
競合同士で意見を激突
普段は競い合っていてもサイバーセキュリティという共通のテーマを追い求めるうちに、連帯感や仲間意識が芽生えるということもありますよね。会合や懇親会で顔を合わせるとセキュリティについて熱く語り合う。そんな雰囲気をそのままお伝えするために、2つのパネルディスカッションを企画しています。ファシリテートするのは、日本シーサート協議会 運営委員長 萩原 健太 氏(グローバルセキュリティエキスパート株式会社 CSO)です。
記者から学ぶ「インシデント発生時の広報の在り方」
日本経済新聞社 岩澤 明信 氏、朝日新聞社 須藤 龍也 氏、共同通信社 下山 純 氏、読売新聞社 畑 武尊 氏に登壇していただき、「インシデント発生時の広報の在り方」について議論していただきました。
インシデント対応は技術的な側面だけではなく、社内主要部門との調整やステークホルダーへの対応にも気を配らなければなりません。特に、広報の対応の仕方によっては、事業活動や社会的評価への影響、社会的制裁などの被害が大幅に増減します。
このパネルディスカッションでは報道する側の視点を学ぶと共に、企業広報の在り方について考えさせられました。
クラウドの更なる活用と安全性を考える
2021年11月30日、内閣サイバーセキュリティセンターより「クラウドを利用したシステム運用に関するガイダンス」が公表されました。このガイダンスは、クラウドサービスの利用に関するインシデントの発生を可能な限り抑制し、インシデントが発生した際に円滑に対応できるよう、望ましい取り組みや留意点などが記載されています。
このガイドラインが策定された背景、クラウドを有効活用するためにはどうしたらよいのか、活用と共に課題となる安全性確保についてどのように備えるべきなのか、といった疑問をマイクロソフト、セールスフォース、AWS の3人のクラウド事業者に直接聞いて、CSIRT がとるべき対処のヒントとしてもらいました。
株式会社セールスフォース・ドットコム 神田 貴博 氏、 アマゾン ウェブ サービス合同会社 松本 照吾 氏
オンラインで「車座」を
泊りがけのセキュリティシンポジウムなどで、夜のセッションとして車座会議が行われることがあります。車座会議は「類は友を呼ぶ」を意味する英語のことわざ「Birds of a feather flock together」の「Birds Of a Feather」を略した BOF というイベントのことで、特定の話題、特定の分野などに興味を持つ人々が集まり、自由に話し合う場のことを言います
このカンファレンスでは7つの車座が企画され、そのうち3つを当社から配信しました。
サイバーセキュリティのスペシャリストであり日本における先駆者の一人である名和 利男 氏が、昨年に続いて NPO デジタル・フォレンジック研究会「技術」分科会主査の立場で座長を務めてくださいました。「リモートワークにおけるデジタル・フォレンジック調査などの経験から得たこと」をテーマに、コロナ禍にある現状、そしてニューノーマルの世界に向けて、オフィスワークとテレワークを組み合わせたハイブリットワークに備えたデジタル・フォレンジックのあり方について議論していただきました。
CSIRT 活動においては正解がない課題や領域があって、異なるバックグラウンドを持つ多くの人の意見を聴いて、話して、議論することで思いがけず解決のヒントを掴むことがあります。そして何よりも、いろいろな業種業界、異なる分野のひとと知り合いになるチャンスです。このような文化を定着させたいですね。
手前がアテンドを務めてくださった 株式会社富士通エフサス(FSAS-CSIRT) 倉持 愼一郎 氏
仮想のイベント会場を使う試み
カンファレンスは Zoom Meetings / Webinar をメイン、YouTube Live をバックアップとしてオンラインで配信しました。
一方で、今回初めての試みとして oVice(オヴィス)を使ったイベントをいくつか企画しました。
oVice は、現実空間と同じような感覚で使えることをコンセプトとしたコミュニケーションツールです。ユーザーはアイコン(アバター)で表示され、仮想的に作られたオフィス内でアイコンを移動させることで、他の人とコミュニケーションができます。
アイコンの近くに居る人の会話が聞こえるのが特徴で、ある距離内に近づくと声が聞こえて、アイコンからの距離が近いほど声が大きく、遠くなるほど小さな声で聞こえます。
また、他人に聞かれたくない会話をするための鍵付きの「部屋」を作ることができます。
今回、当カンファレンス専用の仮想のイベント会場を作成し、前夜祭やワークショップ、Lightning Talks などの催しを行い、2日間各日、350~400名の方がこの会場を訪れました。
データから見る「NCA Annual Conference 2021」
「NCA Annual Conference 2021」をデータで見てみましょう。
- NCA 加盟組織 + オープン参加の会合
NCA には業種業界を問わず435の組織が加盟しています。(2021年12月1日現在)
今回のカンファレンスは、加盟組織以外も参加できるオープンな会合です。 - 2回目の Annual Conference
NCA は2007年に任意団体として発足しましたが、2020年4月から一般社団法人として活動を始めています。このカンファレンスは、CSIRT をベースとしたサイバーセキュリティ対策を普及促進する一般社団法人としての活動の一環として行っており、昨年に続いて2回目の開催です。 - プログラム構成
- 基調講演・特別講演 : 3件
- パネルディスカッション : 2件
- CFP(Call for Presentations) : 17件
- 車座会議 : 7件
- ワークショップなど : 6件
- Lightning Talks : 9件
- 参加人数
事前登録人数は約750名、当日参加は約520名。
12月10日に発覚した Log4j の脆弱性対応のため参加が鈍ったのかもしれません。 - 配信方法
- Zoom Meetings / Zoom Video Webinar
- YouTube Live(バックアップ)
- oVice(オヴィス)
- オフィシャルサイト
SBテクノロジーとして
当社の CSIRT メンバーでは、法人第1本部 セキュリティサービス部 伏見 修一が、CFP(Call for Presentations)に『インシデントから学ぶ、「肩」の力を抜いた、CSIRT の「型」の崩し「方」』というテーマで講演しました。このプレゼンテーションでは技術的観点ではなく、お客様(人・組織)との対話から見えた現実的な CSIRT のレベルや役割、登場人物について具体的な事例を紹介すると共に、CSIRT 組織として改めて「人材の定義」を振り返り、オリジナリティを出していくアイデアをお話しさせていただきました。
また、スポンサー特典である10分ミニ講座では、法人第1本部 セキュリティサービス部 外山 良が『インシデント発生後の EDR の本当の強みとは』というテーマで、インシデント発生後に必要なスレットハンティングやフォレンジックの流れと共に、EDR の有効な活用方法を紹介させていただきました。
さらには、昨年に引き続きイベントのロゴを経営企画本部 岸 啓介がデザインしました。
-
日本シーサート協議会 実行委員 加盟員
- 法人公共事業統括 法人第1本部 北村 達也
日本シーサート協議会 理事
NCA Annual Conference 2021実行委員長 -
情報セキュリティ事務局 小原 彩
日本シーサート協議会 地区活動委員
NCA Annual Conference 2021実行委員
最後に
NCA の会合やワークショップでは情報の取扱いについてチャタムハウスルール※2を適用しているため、このレポートでは概要しかお伝えすることができませんでした。CSIRT の構築やその運用、CSIRT 間の連携について詳しく知りたい方は、当社までお問い合わせください。
※2 チャタムハウスルール(Chatham House Rule)王立国際問題研究所に源を発する会議参加者の行動規範で、参加者はそこで得た情報を持ち帰って自由に使うことができますが「誰の発言か」「誰が参加していたか」については他言無用とすること。
関連ページ
「CSIRT 構築支援サービス」資料請求・お問い合わせはこちら |