SBTのスベテ

「NCA Annual Conference 2021」レポート

北村 達也

CSIRT(シーサート)をご存じですか?
「Computer Security Incident Response Team」の頭文字を取った略語で、コンピュータセキュリティに関するインシデント(事故)が発生した時にその対応をする組織体のことです。当社でも SBT-CSIRT という名前の組織内 CSIRT が24時間365日活動していますが、皆さんの組織でも CSIRT が人知れず地球防衛軍のようにセキュリティインシデントの発生を防いでいるかもしれませんね。

CSIRT を消防署や消防団に例えると、その役割として119番(通報窓口、ヘルプデスク)、消火活動(被害の極小化)、火の用心・発報(検知と警戒)、防火(教育・啓発)があって、インシデントが発生してから動く活動と、発生することを前提に事前対策を施す活動の両方を担っています。
一般の火災事故とは異なり、セキュリティインシデントにおいてはサイバー攻撃者という敵がいるということと、コンピュータの脆弱性と対峙しなければならないことから、攻撃を防御する、あるいは被害を極小化するためには企業や大学などの組織同士が連携することが有効な対策になります。

その組織間連携を促進する協議会が、一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会(通称:日本シーサート協議会、以下、英略称「NCA」)です。

その NCA の年次会合「NCA Annual Conference 2021」が、12月16日(木)、17日(金)の2日間、当社のセミナールーム、会議室を使って行われました。 当社は、会場を提供するとともに、ゴールドスポンサーとしてこのカンファレンスを支援しています。今回は、このカンファレンスをレポートします。

配信スタジオ
当社セミナールームが、配信スタジオにトランスフォーム!

「NCA Annual Conference 2021」のテーマ

alt「NCA Annual Conference 2021」のテーマ

今年のテーマは、「理想と現実のはざまで、極めろ! ~ CSIRT の守・破・離を考える ~ 」です。

「守破離」は、元々は千利休が茶道で使った言葉ですが、物事を学ぶ際の基本姿勢として受け継がれてきました。
修業に際して、まずは師匠から教わった型を徹底的に「守る」ことから始め、次に自分に合ったより良いと思われる型を模索し試すことで既存の型を「破る」。さらに鍛錬・修業を重ね、型に囚われることなく、言わば型から「離れ」て自在となることができるということです。

これを CSIRT に当てはめると、先行事例やガイドラインという型をお手本にして CSIRT を構築し運用体制を整備する、そしてその型を破って自社に合った形にアレンジすることで、より効果的、効率的なチームへと成長させる。さらには既成の CSIRT という概念から離れ、組織としての基本的な機能、組織としての一般的な役割へと昇華することに挑戦する、ということになります。
このように CSIRT は作って終わりではなく、常に CSIRT の成熟度を高め、組織内外の状況の変化に合わせて変えていくことが大切なのです。

そこで、それぞれの CSIRT を「守破離」という視点から見つめなおして、段階を踏んで CSIRT を成熟させていくためにはどのようにすればよいかを皆で考えよう、ということで、今年のテーマを「理想と現実のはざまで、極めろ! ~ CSIRT の守・破・離を考える ~ 」としました。

デジタル庁 CISO 坂 明 氏の基調講演

デジタル庁CISO 坂 明 氏
デジタル庁CISO 坂 明 氏

デジタル庁 CISO 坂 明 氏の基調講演で始まりました。テーマは「TOKYO2020におけるサイバー脅威への対応とデジタル社会へのレガシー」です。
オリンピック・パラリンピックという一大イベントに対するサイバーセキュリティを経験したことで、今回の施策、計画、対応がレガシーとなり、今後、国内において大規模イベントを開催する際の標準となるということです。 既に、概要はメディアでも公開※1されていますが、東京オリンピック・パラリンピック競技大会組織委員会 CISO を務めた坂 氏から直接お話しいただくことで、緊迫感が伝わってきました。

※1


競合同士で意見を激突

普段は競い合っていてもサイバーセキュリティという共通のテーマを追い求めるうちに、連帯感や仲間意識が芽生えるということもありますよね。会合や懇親会で顔を合わせるとセキュリティについて熱く語り合う。そんな雰囲気をそのままお伝えするために、2つのパネルディスカッションを企画しています。ファシリテートするのは、日本シーサート協議会 運営委員長 萩原 健太 氏(グローバルセキュリティエキスパート株式会社 CSO)です。

記者から学ぶ「インシデント発生時の広報の在り方」

日本経済新聞社 岩澤 明信 氏、朝日新聞社 須藤 龍也 氏、共同通信社 下山 純 氏、読売新聞社 畑 武尊 氏に登壇していただき、「インシデント発生時の広報の在り方」について議論していただきました。
インシデント対応は技術的な側面だけではなく、社内主要部門との調整やステークホルダーへの対応にも気を配らなければなりません。特に、広報の対応の仕方によっては、事業活動や社会的評価への影響、社会的制裁などの被害が大幅に増減します。
このパネルディスカッションでは報道する側の視点を学ぶと共に、企業広報の在り方について考えさせられました。

クラウドの更なる活用と安全性を考える

2021年11月30日、内閣サイバーセキュリティセンターより「クラウドを利用したシステム運用に関するガイダンス」が公表されました。このガイダンスは、クラウドサービスの利用に関するインシデントの発生を可能な限り抑制し、インシデントが発生した際に円滑に対応できるよう、望ましい取り組みや留意点などが記載されています。
このガイドラインが策定された背景、クラウドを有効活用するためにはどうしたらよいのか、活用と共に課題となる安全性確保についてどのように備えるべきなのか、といった疑問をマイクロソフト、セールスフォース、AWS の3人のクラウド事業者に直接聞いて、CSIRT がとるべき対処のヒントとしてもらいました。

ファシリテーター

オンラインで「車座」を

泊りがけのセキュリティシンポジウムなどで、夜のセッションとして車座会議が行われることがあります。車座会議は「類は友を呼ぶ」を意味する英語のことわざ「Birds of a feather flock together」の「Birds Of a Feather」を略した BOF というイベントのことで、特定の話題、特定の分野などに興味を持つ人々が集まり、自由に話し合う場のことを言います

このカンファレンスでは7つの車座が企画され、そのうち3つを当社から配信しました。
サイバーセキュリティのスペシャリストであり日本における先駆者の一人である名和 利男 氏が、昨年に続いて NPO デジタル・フォレンジック研究会「技術」分科会主査の立場で座長を務めてくださいました。「リモートワークにおけるデジタル・フォレンジック調査などの経験から得たこと」をテーマに、コロナ禍にある現状、そしてニューノーマルの世界に向けて、オフィスワークとテレワークを組み合わせたハイブリットワークに備えたデジタル・フォレンジックのあり方について議論していただきました。

CSIRT 活動においては正解がない課題や領域があって、異なるバックグラウンドを持つ多くの人の意見を聴いて、話して、議論することで思いがけず解決のヒントを掴むことがあります。そして何よりも、いろいろな業種業界、異なる分野のひとと知り合いになるチャンスです。このような文化を定着させたいですね。

車座会議の様子

仮想のイベント会場を使う試み

カンファレンスは Zoom Meetings / Webinar をメイン、YouTube Live をバックアップとしてオンラインで配信しました。

一方で、今回初めての試みとして oVice(オヴィス)を使ったイベントをいくつか企画しました。 oVice は、現実空間と同じような感覚で使えることをコンセプトとしたコミュニケーションツールです。ユーザーはアイコン(アバター)で表示され、仮想的に作られたオフィス内でアイコンを移動させることで、他の人とコミュニケーションができます。
アイコンの近くに居る人の会話が聞こえるのが特徴で、ある距離内に近づくと声が聞こえて、アイコンからの距離が近いほど声が大きく、遠くなるほど小さな声で聞こえます。
また、他人に聞かれたくない会話をするための鍵付きの「部屋」を作ることができます。

今回、当カンファレンス専用の仮想のイベント会場を作成し、前夜祭やワークショップ、Lightning Talks などの催しを行い、2日間各日、350~400名の方がこの会場を訪れました。

今回のカンファレンス専用の仮想のイベント会場

データから見る「NCA Annual Conference 2021」

「NCA Annual Conference 2021」をデータで見てみましょう。

SBテクノロジーとして

当社の CSIRT メンバーでは、法人第1本部 セキュリティサービス部 伏見 修一が、CFP(Call for Presentations)に『インシデントから学ぶ、「肩」の力を抜いた、CSIRT の「型」の崩し「方」』というテーマで講演しました。このプレゼンテーションでは技術的観点ではなく、お客様(人・組織)との対話から見えた現実的な CSIRT のレベルや役割、登場人物について具体的な事例を紹介すると共に、CSIRT 組織として改めて「人材の定義」を振り返り、オリジナリティを出していくアイデアをお話しさせていただきました。

また、スポンサー特典である10分ミニ講座では、法人第1本部 セキュリティサービス部 外山 良が『インシデント発生後の EDR の本当の強みとは』というテーマで、インシデント発生後に必要なスレットハンティングやフォレンジックの流れと共に、EDR の有効な活用方法を紹介させていただきました。

さらには、昨年に引き続きイベントのロゴを経営企画本部 岸 啓介がデザインしました。

最後に

NCA の会合やワークショップでは情報の取扱いについてチャタムハウスルール※2を適用しているため、このレポートでは概要しかお伝えすることができませんでした。CSIRT の構築やその運用、CSIRT 間の連携について詳しく知りたい方は、当社までお問い合わせください。

※2 チャタムハウスルール(Chatham House Rule)
王立国際問題研究所に源を発する会議参加者の行動規範で、参加者はそこで得た情報を持ち帰って自由に使うことができますが「誰の発言か」「誰が参加していたか」については他言無用とすること。


関連ページ

「CSIRT 構築支援サービス」資料請求・お問い合わせはこちら
「CSIRT 構築支援サービス」詳細はこちら
マンガでわかる!「ゼロトラスト」を実現する方法とは?
マンガでわかる!ニューノーマル時代の働き方に必要とされる企業のセキュリティ対策とは?

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

セキュリティソリューションに関する資料請求・お問い合わせ

関連製品・サービス

開催中のウェビナー

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録