Internet Week 2015 セキュリティセッション紹介第3回「CSIRT時代のSOCとのつき合い方 2015」についてデロイトの佐藤功陛氏が語る

11月17日から11月20日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2015 ～手を取り合って、垣根を越えて。～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2015
https://internetweek.jp/
今回のテーマは「手を取り合って、垣根を越えて。」

昨今は、DDoSやサイバー攻撃、脆弱性の発覚といったセキュリティ問題が数多く起こり、それらが複雑、巧妙化・広範囲化している。こうした状況に立ち向かっていくために、インターネット上のレイヤーを超え、そして業界やコミュニティをまたがり、あるいは世代もまたがって、認識や目的を共通化して事に当たらないとなかなか解決しないことが増加している。

今回のInternet Weekでは、一つ一つのプログラムの中に、そういうメッセージを込めたいと、このテーマを設定したとのことだ。

連載で、このInternet Week 2015のセッションのうち、情報セキュリティに関するセッションの見どころ・意義・背景などを、セッションコーディネーターに語ってもらう。

3回目となる今回は、11月19日午後に行われるプログラム「CSIRT時代のSOCとのつき合い方 2015」について、デロイトトーマツリスクサービス株式会社の佐藤功陛氏に話を聞いた。

--

――「CSIRT時代のSOCとのつき合い方 2015」を企画した背景を教えてください。

CSIRT（Computer Security Incident Response Team、シーサート）の業務は多岐にわたります。その中でもインシデントハンドリングが非常に重要な業務なのですが、インシデントハンドリングは「検知・連絡」「トリアージ(緊急度に従って、手当てに優先順位をつけること)」「インシデントレスポンス」、そして「報告・情報公開」と4つの業務に分かれています。

実は、昨年のInternet Weekでも「CSIRT時代のSOCとのつき合い方」という同名のプログラムを提供したのですが、昨年は、このCSIRTの業務のうち、「インシデントレスポンス」と「検知・連絡」をサービスとして提供するSOC事業者の方に登壇いただき、CSIRTとSOC(セキュリティオペレーションセンター)のそれぞれの立場からどのように歩み寄ればよりよい関係が構築できるか、という視点での話が中心でした。

セッションは手前味噌ながら非常に面白かったと思っているのですが、インシデントハンドリングプロセスを俯瞰する内容になっていなかった点を振り返って今回のセッションを企画いたしました。

CSIRTは本来、「検知・連絡」「トリアージ」「インシデントレスポンス」「報告・情報公開」のプロセス全体をマネージして進めなければいけません。そのため、この全体を引いた目で俯瞰することが必要なのですが、世の中的にはどうしても「インシデントレスポンス」のところばかりが注目されていますね。

結果、セキュリティに対する脅威の高まりや省庁の通達などによって、CSIRTの構築が大流行しても、「名ばかりのCSIRT」ができてしまい、どうやって運用したらいいのか戸惑っている方も多いのではないかと感じています。

例えば、CSIRTを構築したものの、一度もインシデントが発生していない場合、「検知」する仕組みやプロセスがないことが原因で実際のインシデントを見つけられていないだけかもしれません。

そのため今回のプログラムでは、CSIRTと「検知」の専門家であるSOC、そして「検知」のためのツールであるSIEM(Security Information and Event Management)などの関係を適切に整理した上で、「CSIRT構築後にセキュリティ監視はどうすべきなのか？」「SOCを選択するときのポイントは？」「SIEMを導入すればすぐにプライベートSOCで監視ができるのか？」などという、CSIRTやSOCに興味を持つ人が陥りがちないくつかの疑問に対して、答えが出せるようなセッションにしたいと考えています。

――CSIRTがSOCやSIEMを使いこなして「検知」の能力をどう高めていくかということですね。

一言で「検知」と言ってもいろいろな形態があります。攻撃の検知について、全て内製でやっているところもあれば、外部SOCを利用している場合もあるし、両方で行っているケースもあるでしょう。

その中での問題として、今の形態で一体どこまでできているのか、特に内製で実施している場合は、高度な攻撃手法への対応をどのように、どこまでやればいいのかという悩みがあると思います。

内製と外部委託では、当然それぞれのメリット・デメリットがある訳ですが、外部にお任せすることでレバレッジが効く部分と、そうで無い部分、また、内部でしかできない部分がどこなのかを見極める必要があります。

特に現在、「プライベートSOC」はバズワード化しており、今まで監視業務を外に出していた大手企業も「全部自社内に巻き取りなさい」と自社のシステム部門にオーダーするケースが増えてきました。

しかし、そんな簡単にできるのかというと、たとえベンダーさんが「SIEMさえあれば、SIEMのテンプレートを活用することで、数ヶ月もあればSOCができます」というようなこと言ったとしても、それだけではオペレーションはできないのです。

一番の肝は、継続可能なオペレーションが可能なのか、という部分です。また、セキュリティインテリジェンス、つまり脅威情報をいかに入手するかも非常に重要です。

そうした例をいくつも見てきた経験から今回のプログラムでは、まず、以前外部SOCを利用していましたが、今は自社で監視を行っている、丸紅OKIネットソリューションズの橘さんから、実際の現場における実装と、その運用について話していただきます。

次に、外部SOCを利用しつつ、外部SOCのアウトプットに付加価値を付け、より高度なサービスを提供しているエヌ・ティ・ティ・データの大谷さんに、先進的なプライベートSOCの実態やSIEMの使い方を話してもらい、その後、外部SOCの立場から、NTTコムセキュリティの阿部さんにCSIRTとの連携についても話してもらって、それぞれの企業にとって、自分達はどういう形が好ましいのかを考えられる場としたいです。

――CSIRTとSOCとの連携は、今年のInternet Weekのテーマ「手を取り合って、垣根を越えて。」とも関わりそうですね。

そうなんです。CSIRTもSOCも、内部にセキュリティ人材がたくさんいて運用できているわけではありません。外注したほうがいいところもあるでしょうが、しかし一方で外には任せられないものもあると思います。そういう意味では、きちんとしたスコープを定めることが必要です。

――このプログラムをどのような方に聞いてもらいたいですか？

社内でCSIRTの構築を検討中だったり、社内CSIRT構築後のセキュリティ監視をどうするか検討中の方ですね。また、SOCやSIEMの活用方法を知りたい方にもおすすめです。

――最後に、参加者にメッセージをお願いします。

IT業界は、どうしても製品ベンダー各社がブームを作ろうとしているところがあります。そのため、決してバズワードに惑わされることなく、何をやりたいのかというスコープを明らかにした上で、やるべきことをやらないといけないと感じます。

先にも述べましたが、やはり、名ばかりのCSIRTが横行している感があります。CSIRTに関わる方が、「CSIRTを作ってみたものの、次の一手をどうするのか」で悩まれるケースを多く見ています。インプットがないと分析はできませんが、このインプットをどう手に入れるかについて、今回のプログラムが参考になることがあれば幸いだと考えています。

●プログラム詳細

「S14：CSIRT時代のSOCとのつき合い方 2015」

- 開催日時:2015年11月19日(木)13:15～15:45
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/s14/

13:15～13:30
1) CSIRTと外部SOC、SIEMの関係について
佐藤功陛(デロイトトーマツリスクサービス株式会社)

13:30～13:55
2) CSIRTの現場から～セキュリティ監視の実例～
橘喜胤(丸紅OKIネットソリューションズ株式会社)

13:55～14:20
3) 最新のサイバー攻撃に対応するプライベートSOCのご紹介
大谷尚通(株式会社エヌ・ティ・ティ・データ品質保証部
情報セキュリティ推進室 NTTDATA-CERT)

14:25～14:50
4) SOCが悩むセキュリティ対応の現実 2015
阿部慎司(日本セキュリティオペレーション事業者協議会
(ISOG-J)/NTTコムセキュリティ株式会社)

15:00～15:45
5）パネルディスカッション：CSIRT時代のSOCとSIEMとのつき合い方
上記講演者によるパネルディスカッション

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。