Internet Week 2014 セキュリティセッション紹介 第5回「CSIRT時代のSOCとのつき合い方」について佐藤功陛氏が語る | ScanNetSecurity
2024.06.17(月)

Internet Week 2014 セキュリティセッション紹介 第5回「CSIRT時代のSOCとのつき合い方」について佐藤功陛氏が語る

「SOCとCSIRTはどう付き合うべきかという中で、お互いに協力し合える部分(ハイブリットの部分)について、主に考えていきたいですね。」

研修・セミナー・カンファレンス セミナー・イベント
「SOCとCSIRTはどう付き合うべきか」 日本セキュリティオペレーション事業者協議会(ISOG-J) 佐藤功陛氏
「SOCとCSIRTはどう付き合うべきか」 日本セキュリティオペレーション事業者協議会(ISOG-J) 佐藤功陛氏 全 1 枚 拡大写真
11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)主催の「Internet Week 2014 ~あらためて“みんなの”インターネットを考えよう~」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2014
https://internetweek.jp/
今回のテーマは「あらためて“みんなの”インターネットを考えよう」。Internet Weekの実行委員長は「2014年は上半期から、UDPを用いた大規模なDDoS、OpenSSL Heartbleed問題、DNS毒入れ問題などが続き、また、いわゆるフィッシングやスマートフォン向けアプリを仲介した詐欺が横行、企業による大規模な個人情報流出もあり、『セキュリティ』や『プライバシー』に関連する事象が多数発生した」と述べている。技術的な解決方法は存在していても、対応が後手にまわったり、対応しなければならないインシデントは山積みになっているのが現状だ。こうした事態を踏まえ、Internet Weekではいつもに増してセキュリティ関連セッションを増やし、また、対応についても皆で考え、より良い未来を作りたいと考えている。

このInternet Week 2014のセッションのうち、情報セキュリティに関する注目のセッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

5回目となる今回は、3日目の11月20日(木)に行われるプログラム「S13 CSIRT時代のSOCとのつき合い方」について、日本セキュリティオペレーション事業者協議会(ISOG-J)の佐藤功陛氏に語っていただいた。

--

Q. 企業内でインシデントの対応を行うCSIRT (Computer Security Incident Response Team、シーサート)と、主に外部からセキュリティオペレーションを行う事業者としてのSOC(Security Operation Center、ソック)共に、昨今のサイバー攻撃の増加に伴い、注目が集まっています。しかし今回、あえて「CSIRT時代のSOCとのつき合い方」という、このセッションを提起したきっかけは何でしょうか?

佐藤:外的な要因として、標的型攻撃、改ざんなどかつてない攻撃がかつてない規模で出てきており、脅威の状況が変わってきているのは、今のご質問にもあった通りです。

セキュリティオペレーション事業者の業務には、「脆弱性診断」「コンサルティング」「インシデント対応支援/フォレンジック」など多岐にわたっていますが、近年、SOCに求められる役割がだんだんと広がっています。以前はSOCと言えば、侵入や脆弱性を悪用した攻撃を検知した段階でCSIRTにそれを通知し、「よろしくお願いします」で終わりということも多くありました。しかし、脅威が具体的に高まっているこうした変化の中で、SOCが、企業内でインシデントに実際に対応するCSIRTをどのように支援できるか?というところまで踏込もうとしています。

特に、侵入されることを前提とし、以下に被害を最小限に抑えられるか?という考え方がとても重要で、侵入を以下に早く発見するか、そしていかに早く対応を開始できるか、そのためにSOCとCSIRTは現状何をしていて、お互い連携することで改善することはできないか?こういったインシデントレスポンスの全体をあらためて整理し、役割等も今一度考えて良いのではということを提起したいと思いました。

Q: なるほど、SOCとCSIRT、被害を最小限に抑えるという観点で、もっと協同できるのではないか、ということなんですね。

佐藤:はい。SOCとCSIRTはどう付き合うべきかという中で、SOCが得意なところはお任せして欲しいと思いますが、今回のセッションでは、SOCについてまずはもっと皆さまによく知ってもらい、その上でお互いに連携し合える部分について、主に考えていきたいですね。

具体的にSOCが得意とする部分は、プロアクティブな解析や脆弱性情報のリサーチを24時間365日行っているので、攻撃手法や攻撃に使われるIPアドレス、ドメイン等をよく知っているということと、その対応策をよく知る高度な人材がいるということなどです。

こういう状況でCSIRTとSOCが一緒にがんばれる部分は、トリアージのサポート(アセット情報や診断情報を取り込むことによる分析の重み付け、精度の向上)、レスポンスのサポート(初動の支援、インシデント対応支援/フォレンジックチームへの橋渡し)などではないかと思っています。こうした点については、まず「SOCから見たインシデントレスポンス」というパートでお話しできればと思います。

Q: それ以外のパートはどのようになりますか?

冒頭にデロイト トーマツさんに「インシデントレスポンスの新潮流」というタイトルで侵入を前提とした上でいかに被害を最小限に抑えるか?という考え方を説明いただきます。SOCから見たインシデントレスポンスの次に、CSIRT側から見たインシデントレスポンスの実態について、大成建設株式会社さんとグリー株式会社さんにお願いします。

その上で、被害を最小限にするためにどのように連携できるか?という観点で、SOCとCSIRTのそれぞれの役割分担の現状と理想像のギャップや連携可能なことがどこにあるのかなど、つぶらなところからディスカッションできればと考えています。

Q: このプログラムをどのような方に聴いていただきたいですか?

佐藤:会社・団体のCSIRT関係者のみならず、ITセキュリティ担当者、IT担当者の皆さまに広く聴いていただきたいですね。

現時点でSOCを利用されている企業や、CSIRTの方はあまりいらっしゃらないかもしれません。しかし、SOCをうまく利用されると、初動がはやくなり、工数も削減されますし、トラブルも減ります。また、アプリケーションの脆弱性も多く、また攻撃も機械的なものだけでなく非常にスキルの高い人物によるものなどが幾重にも繰り広げられている中で、危険性は高まり続けています。もっと上手にSOCを活用してもらいたいので、多くの方に聴いていただきたいです。たくさんの方のご来場をお待ちしています。


●プログラム詳細

「S13 CSIRT時代のSOCとのつき合い方」

- 開催日時:2014年11月20日(木) 9:30~12:00
- 会場:富士ソフト アキバプラザ
- 料金:事前料金 5,500円/当日料金 8,000円
- https://internetweek.jp/program/s13/

9:30~9:50
1) インシデントレスポンスの新潮流
森島 直人(デロイト トーマツ サイバーセキュリティ先端研究所)

9:50~10:20
2) SOCから見たインシデントレスポンス
阿部 慎司(日本セキュリティオペレーション事業者協議会(ISOG-J)/NTTコムセキュリティ株式会社)

10:20~11:00
2) CSIRTから見たインシデントレスポンス
北村 達也(大成建設株式会社 社長室情報企画部)
奥村 祐則(グリー株式会社)

11:10~12:00
3) パネルディスカッション CSIRTとSOCの連携は新しい価値を創出するのか?
モデレータ:佐藤 功陛(日本セキュリティオペレーション事業者協議会(ISOG-J))
パネリスト:上記登壇者全員


※特典:このセッションに申し込まれた方には、 「Scan Tech Report (年間購読定価10,332円)」もし くは 「情報セキュリティ 総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼント があります。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  2. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  3. 「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

    「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

  4. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  5. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  6. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

  7. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  8. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  9. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  10. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

ランキングをもっと見る