寄稿

情報セキュリティインシデント対応チーム(CSIRT)の発足と活動

2020年11月1日に情報セキュリティインシデント対応チーム（以下、「CSIRT」という。）が発足しました。名は体を表すといいますが、セキュリティ上の問題が急増している時代の要請ということでありましょうか、従来ITCが担ってきた「機能」は、小さいながら専従チームとして誕生することになりました。

義塾のCSIRTのミッションは、「義塾において発生した、あるいは発生し得る情報セキュリティインシデント（意図的あるいは偶発的に生じる、義塾規程あるいは法律に反する情報セキュリティ上の事故あるいは事件をいう。以下、「インシデント」という。）に主導的に対応し、影響を最小限に抑制し、情報資産の安全を確保すること」と定められています。因みに、守備範囲は全塾、身の引き締まる思いです。

一般的にCSIRTは消防団や消防署に例えられます。専任者のいないバーチャルなチームの場合は消防団、専任者がいる場合には消防署となるわけです。いずれも「火事が発生すれば、直ちに出場し消火に当たる」「鎮火後は現場検証を行い原因の特定と再発防止のための施策を行う」「平時でも、日々訓練を行い技術を磨く」まさにピッタリの例えではないでしょうか。では、義塾のCSIRTはいかがかと見回せば、専任者がいる以上消防署になぞらえることになるわけです。尤も、規模や実際の機能を鑑みると、消防本部指揮所のみなのですが...

では、義塾のCSIRTはどのように活動しているのでしょうか。義塾のCSIRTは数あるCSIRTの形態の中で消防本部指揮所に例えられる、コーディネータ型のCSIRTとして機能しています。有事には、全体を俯瞰して司令塔として機能します。簡単に言い換えれば「口は出すが、手は出さない」といったスタイルです。つまりは、現場で活動するセキュリティオペレーションセンター（以下、「SOC」という。）の協力無しには成り立たないということです。義塾でSOCを担うITCとは、有事、平時を問わず密な協力体制を築いています。

インシデント発生時、つまりは有事の活動は想像に難くないと思いますが、平時の活動はどういうことを行っているのでしょうか。前述の例えでは「日々訓練を行い技術を磨く」ということですが、それに加えてセキュリティ関連のPDCAサイクルを実践すべく奮闘しています。具体的には、「インシデントは起こるものである」という前提に立ち、日々外部組織などから共有される脅威情報や商用の脅威インテリジェンスから届けられる最新情報に基づき、SOCと協力して義塾のネットワークの挙動やポートスキャンの傾向を確認し、脅威による侵害が起こっていないか調査を行ない、インシデントの兆候が見られれば深堀り調査と対処を行い、万一この脅威でインシデントが起こったらどう対応するか検討を行っています。また、過去のインシデント事例からの知見に基づきセキュリティのPDCAサイクルを確立すべく、その前提として義塾に遍在するシステムの棚卸しを開始しました。その他、制度面の見直し、規程類の整備とやることは満載ですが、一歩一歩進んでいます。

まだ、誕生して間もない組織ですが、義塾に安全と安心を届けられるよう日々努力をしております。しかしながら、CSIRTやSOCの力だけでは義塾の安心と安全を守ることは困難です。鍵は、すべての人が自衛することです。そのための情報は今後しっかりとCSIRTから情報発信してまいります。

今後ともご理解とご協力をよろしくお願い申し上げます。