Internet Week 2014 セキュリティセッション紹介第5回「CSIRT時代のSOCとのつき合い方」について佐藤功陛氏が語る

11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2014 ～あらためて“みんなの”インターネットを考えよう～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2014
https://internetweek.jp/
今回のテーマは「あらためて“みんなの”インターネットを考えよう」。Internet Weekの実行委員長は「2014年は上半期から、UDPを用いた大規模なDDoS、OpenSSL Heartbleed問題、DNS毒入れ問題などが続き、また、いわゆるフィッシングやスマートフォン向けアプリを仲介した詐欺が横行、企業による大規模な個人情報流出もあり、『セキュリティ』や『プライバシー』に関連する事象が多数発生した」と述べている。技術的な解決方法は存在していても、対応が後手にまわったり、対応しなければならないインシデントは山積みになっているのが現状だ。こうした事態を踏まえ、Internet Weekではいつもに増してセキュリティ関連セッションを増やし、また、対応についても皆で考え、より良い未来を作りたいと考えている。

このInternet Week 2014のセッションのうち、情報セキュリティに関する注目のセッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

5回目となる今回は、3日目の11月20日(木)に行われるプログラム「S13 CSIRT時代のSOCとのつき合い方」について、日本セキュリティオペレーション事業者協議会(ISOG-J)の佐藤功陛氏に語っていただいた。

--

Q. 企業内でインシデントの対応を行うCSIRT (Computer Security Incident Response Team、シーサート)と、主に外部からセキュリティオペレーションを行う事業者としてのSOC(Security Operation Center、ソック)共に、昨今のサイバー攻撃の増加に伴い、注目が集まっています。しかし今回、あえて「CSIRT時代のSOCとのつき合い方」という、このセッションを提起したきっかけは何でしょうか？

佐藤：外的な要因として、標的型攻撃、改ざんなどかつてない攻撃がかつてない規模で出てきており、脅威の状況が変わってきているのは、今のご質問にもあった通りです。

セキュリティオペレーション事業者の業務には、「脆弱性診断」「コンサルティング」「インシデント対応支援／フォレンジック」など多岐にわたっていますが、近年、SOCに求められる役割がだんだんと広がっています。以前はSOCと言えば、侵入や脆弱性を悪用した攻撃を検知した段階でCSIRTにそれを通知し、「よろしくお願いします」で終わりということも多くありました。しかし、脅威が具体的に高まっているこうした変化の中で、SOCが、企業内でインシデントに実際に対応するCSIRTをどのように支援できるか？というところまで踏込もうとしています。

特に、侵入されることを前提とし、以下に被害を最小限に抑えられるか？という考え方がとても重要で、侵入を以下に早く発見するか、そしていかに早く対応を開始できるか、そのためにSOCとCSIRTは現状何をしていて、お互い連携することで改善することはできないか？こういったインシデントレスポンスの全体をあらためて整理し、役割等も今一度考えて良いのではということを提起したいと思いました。

Q: なるほど、SOCとCSIRT、被害を最小限に抑えるという観点で、もっと協同できるのではないか、ということなんですね。

佐藤：はい。SOCとCSIRTはどう付き合うべきかという中で、SOCが得意なところはお任せして欲しいと思いますが、今回のセッションでは、SOCについてまずはもっと皆さまによく知ってもらい、その上でお互いに連携し合える部分について、主に考えていきたいですね。

具体的にSOCが得意とする部分は、プロアクティブな解析や脆弱性情報のリサーチを24時間365日行っているので、攻撃手法や攻撃に使われるIPアドレス、ドメイン等をよく知っているということと、その対応策をよく知る高度な人材がいるということなどです。

こういう状況でCSIRTとSOCが一緒にがんばれる部分は、トリアージのサポート(アセット情報や診断情報を取り込むことによる分析の重み付け、精度の向上)、レスポンスのサポート(初動の支援、インシデント対応支援／フォレンジックチームへの橋渡し)などではないかと思っています。こうした点については、まず「SOCから見たインシデントレスポンス」というパートでお話しできればと思います。

Q: それ以外のパートはどのようになりますか?

冒頭にデロイトトーマツさんに「インシデントレスポンスの新潮流」というタイトルで侵入を前提とした上でいかに被害を最小限に抑えるか？という考え方を説明いただきます。SOCから見たインシデントレスポンスの次に、CSIRT側から見たインシデントレスポンスの実態について、大成建設株式会社さんとグリー株式会社さんにお願いします。

その上で、被害を最小限にするためにどのように連携できるか？という観点で、SOCとCSIRTのそれぞれの役割分担の現状と理想像のギャップや連携可能なことがどこにあるのかなど、つぶらなところからディスカッションできればと考えています。

Q: このプログラムをどのような方に聴いていただきたいですか?

佐藤：会社・団体のCSIRT関係者のみならず、ITセキュリティ担当者、IT担当者の皆さまに広く聴いていただきたいですね。

現時点でSOCを利用されている企業や、CSIRTの方はあまりいらっしゃらないかもしれません。しかし、SOCをうまく利用されると、初動がはやくなり、工数も削減されますし、トラブルも減ります。また、アプリケーションの脆弱性も多く、また攻撃も機械的なものだけでなく非常にスキルの高い人物によるものなどが幾重にも繰り広げられている中で、危険性は高まり続けています。もっと上手にSOCを活用してもらいたいので、多くの方に聴いていただきたいです。たくさんの方のご来場をお待ちしています。

●プログラム詳細

「S13 CSIRT時代のSOCとのつき合い方」

- 開催日時:2014年11月20日(木)　9:30～12:00
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/s13/

9:30～9:50
1) インシデントレスポンスの新潮流
森島直人(デロイトトーマツサイバーセキュリティ先端研究所)

9:50～10:20
2) SOCから見たインシデントレスポンス
阿部慎司(日本セキュリティオペレーション事業者協議会(ISOG-J)/NTTコムセキュリティ株式会社)

10:20～11:00
2) CSIRTから見たインシデントレスポンス
北村達也(大成建設株式会社社長室情報企画部)
奥村祐則(グリー株式会社)

11:10～12:00
3) パネルディスカッション CSIRTとSOCの連携は新しい価値を創出するのか？
モデレータ：佐藤功陛(日本セキュリティオペレーション事業者協議会(ISOG-J))
パネリスト：上記登壇者全員

※特典:このセッションに申し込まれた方には、「Scan Tech Report (年間購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼントがあります。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。