ざんねんなセキュリティ–経営責任の丸投げを目的とした「名ばかりCSIRT」

今回は「ざんねんなセキュリティ–経営責任の丸投げを目的とした「名ばかりCSIRT」」についてご紹介します。

関連ワード （セキュリティ、企業セキュリティの歩き方等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

　前回は、「機能しないIDS/IPS」をテーマに、本来の機能を発揮できない“ざんねんな”セキュリティ製品の状況を述べた。IDS/IPS（不正侵入検知／防御システム）は、それ以前のファイアウォールなどと異なり、「検知アラートの対応」というユーザー側の運用が必要だった。多くの企業では適切に運用できず、その結果、機能しないセキュリティ製品が稼働し続ける状態を招いた。

　今回は、近年急激に注目が高まった「Computer Security Incident Response Team（CSIRT）」にフォーカスして、“ざんねん”なセキュリティ対策の状況を述べてみたい。

　サイバー攻撃の脅威が叫ばれ、セキュリティ対策の重要性が世の中に強く認識されるようになったのは、それほど昔のことではない。サイバー攻撃が金もうけになることが分かると、悪意を持つ人間らによってビッグビジネス化する様相を見せた。これに対抗するように、防御側において高度な攻撃手法にも対応できる多種多様なセキュリティ製品・サービスが本格的に普及したのは、2010年代になってからだ。

　もちろん、それ以前でもセキュリティ対策が軽視されていたわけではないが、高度な手法のサイバー攻撃に対応するには、センサーのように攻撃を検知する仕組みを作らざるを得なかった。そうすると、それを運用（アラートへの対応など）できる人材が必要になるが、少し前の企業にそのようなスキルを持つ人材はいなかった。そのため、前回述べたように、せっかくの高度なセキュリティ製品・サービスが全くのムダになってしまうことが珍しくなかった。

　一般企業でセキュリティ専任のエンジニアを採用できるのは、その専門性に見合う報酬を用意できる大企業でなければ難しい。さらに、一般企業にはセキュリティエンジニアのキャリアパスが存在せず、現在の「最高情報セキュリティ責任者（CISO）」のような、セキュリティに関して責任を担う役員などもいなかった。

　また、ほとんどの一般企業には、セキュリティ対策を専門とする部門も存在しなかった。そのような企業では、セキュリティエンジニアは情報システム部門の担当者の一人として所属することになる。情報システム領域の一部となれば、セキュリティの業務をいくら極めても部長にすらなれない。セキュリティエンジニアにとっては不遇の時代が長く続いた。

　その状況を一変させたのが、2011年に発生した日本の防衛産業を狙う標的型サイバー攻撃事件である。この事件は、厳重に管理されているはずの国家機密（にもなり得る軍事機密）がサイバー攻撃者に狙われたものだ。事件のポイントは、高度な技術を持つ攻撃者が、時間と手間を惜しむことなく執ように攻撃を行えば、相手がどんな組織であろうと目的は十分に達成可能だと証明したことだ。当事者である防衛産業から公式発表はないものの、この事件がその後の日本市場におけるサイバーセキュリティ対策の大前提となった。

　一般企業とは段違いの高度なセキュリティ対策をしていた防衛産業の大企業ですら攻撃に遭うという事実によって、多くの一般企業も本気でセキュリティ対策に取り組まざるを得なくなった。つまり、平和な日本も地球の裏側からサイバー攻撃者に狙われるリスクがあるという事実を経営者は無視できなくなったのだ。

　このようにして、サイバー攻撃から自組織を守るためのセキュリティエンジニアと、高度な防御を実現するセキュリティ対策が急激に脚光を浴びるようになった。