INES-SIRT（アイネス・サート）立ち上げ！自社のセキュリティ基盤強化とお客様のセキュリティ対策支援のエンジンに

　多くの企業で、「情報セキュリティ対策」はパソコンやネットワークを管理する情報システム部門の担当業務となっていますが、サイバー攻撃などの脅威が高度化するにつれ、より専門性の高い対応スキルが求められるようになってきました。

　経営体力のある企業では、社内にSOC（ソック：Security Operation Center）やCSIRT（シーサート：Computer Security Incident Response Team）の専門部署を設けて監視や対応を行うところも増えてきましたが、すべての企業が高度なスキルを持った人材を確保できるわけではありません。しかし、いまや情報セキュリティのリスクを持たない企業はどこにもないといっても過言ではなく、高度化するサイバー攻撃への対策をいかに講じるかが経営課題の一つとも言えます。

　アイネスでは、そういった企業様へ当社のSOCおよびCSIRTを活用したMSS（Managed Security Service）の提供や、CSIRT構築支援サービスの提供開始に向けて準備を進めています。
　まずはじめに、社内のCSIRT強化と、CSIRTを基盤としたお客様へのセキュリティ対策サービス提供のため、INES-SIRT（アイネス・サート）を立ち上げました。

　今回は、INES-SIRT立ち上げに向けて取り組んだことや、今後の方向性について、INES-SIRT立ち上げに携わった、ITソリューション本部の桜井に尋ねます。

お客様へのMSS提供を視野に入れた社内CSIRT強化の必要があった

Q. CSIRT構築に取り組むことになったきっかけは何ですか？

ITソリューション本部
運用サービス第三部
桜井　祐一

桜井：近年、お客様より、標的型攻撃メールをはじめとするサイバー攻撃に対する懸念の声を聞く機会が増えてきました。実被害には至らないまでも「不審な添付ファイルを開いてしまった社員がいたのですが、どうすればいいでしょうか？」といった相談を受けたこともあります。こうしたニーズにお応えすべく、今後、セキュリティサービスの提供に重点を置きたいと考え始めたことがきっかけです。まずは、当社内のセキュリティインシデントに対する体制や知見を強化する必要があると考えました。以前から、社内のリスク管理体制の一貫としてCSIRT的な仕組みはあったのですが、昨今の巧妙なセキュリティインシデントにも十分に対応できるようなさらに強固な組織を整えることが求められていました。

そこで、社内のセキュリティチームとして「INES-SIRT（アイネス・サート）」を立ち上げ、自分たちのセキュリティ体制を確固たるものとしつつ、ノウハウを蓄積していくことを決めました。
しかし、当社はシステムの保守や運用は得意ですが、お客様にMSSを提供するための、セキュリティに特化した知識や組織の動かし方に関する経験は十分とはいえません。そこで、多くの実績を持つ専門企業にアドバイスを仰ぐこととし、グローバルセキュリティエキスパート株式会社（以降、GSX社）からコンサルティングを受けることとしました。

「INES-SIRT」が立ち上がるまで

Q. 具体的にはどういった内容のコンサルティングを受けたのですか？

桜井：日本シーサート協議会（以降、NCA）などがCSIRT構築のためのガイドラインを提供していますが、内容としては高度なものも含まれ、そのまま適用できるのは人手や予算などのリソースが十分にある大手企業に限られるように思います。「こうすべき」とガイドラインにあるものを丸飲みにして、果たして本当に運用できるのか疑問がありました。現在の当社の状態や、今後、お客様向けのサービスにつなげることを視野に入れるなど、より当社にフィットしたCSIRTを構築するため、専門的なコンサルティングを受けました。

　コンサルティングを通じて提案していただいたINES-SIRTは、当社の状況をしっかりと理解したうえでプランニングされたもので、十分に機能性があり継続可能なCSIRTで、類型的なCSIRTとはかなり異なる形態となりました。

Q. お客様へのサービス提供の準備状況はいかがでしょうか？

桜井：INES-SIRT立ち上げに向けて、インシデントアラート検知のためのパイロット環境を構築するなど、さまざまな準備を進めてきました。その過程で得られる知識やノウハウをためながら、自社のインシデントレスポンスに取り組むとともに、お客様向けMSSへの礎を築いてきました。

　また、8月1日には、NCAへの加入も実現しました。INES-SIRTが立ち上がったことで、警察やJPCERTコーディネーションセンターといった外部の組織からの不正アクセスに関する通知を受け、社内やお客様にうまくつないでいくことができると期待しています。

INES-SIRTがMSS提供のエンジンとなり礎となる

Q. INES-SIRTの今後の計画と展望についてお聞かせください。

桜井：インシデントはそう頻繁に発生するものではありませんが、起きた場合にはINES-SIRTで一次対応を行いつつ、より高度な解析や詳細なフォレンジック※が必要な場合には、GSX社の支援を仰ぎながら分析機能の強化を進めていければと考えています。

　お客様に向けたMSSを行ううえでは、当社が経験したインシデントで得たノウハウを提供サービスに生かしていきたいですね。
　
　CSIRTを作ったものの形骸化してしまい「とりあえず立ち上げたけれど、名ばかりになってしまっている」という話もよく聞きます。INES-SIRTはそうならないよう日々見直して進化させ、アイネス自身のセキュリティインシデント対応体制を強化するとともに、MSSのほか、関連ビジネスを加速させるエンジンの役割を果たしてもらいたいと考えています。

　現時点でのメンバーは数名ですが、今後は、社内教育制度の一環として情報セキュリティ大学院大学で学んだ社員も加え、体制を強化していく予定です。脆弱性診断やマルウェア解析、SIEM（シーム：Security Information and Event Management）といったメンバーそれぞれの強みやスキルを互いに共有して高めていきたいと思います。いずれは、セキュリティコンテストなどに出場してアピールしていくことも考えています。

※フォレンジック…証拠となるログなどの保全や、インシデントの経緯・原因を特定するための調査・分析などの活動全般。

※ 本文に掲載されている会社名・製品名は各社の商標または登録商標です。