CSIRTほど「言うは易く行うは難し」という諺をしみじみと痛感するテーマはありません。
セキュリティに関するガバナンス手法として、「予防的統制」と「発見的統制」の二つがあります。
CSIRTが難しいのは、「発見的統制」に力点が置かれていることにあります。また、「予防的統制」についても単にセキュリティ機器を導入するという対処療法を越えた組織的な取り組みが必要になることも対応を難しくしています。
標的型攻撃に対する予防的統制として、まず浮かぶのがメール訓練です。
ダミーの標的型攻撃メールをユーザに送信して、何人が引っ掛かるか、というもの。
回数を重ねることで引っ掛かる人数は減っていきます。
ところが、引っ掛かる人はゼロにはならないのです。ゼロにしないと意味がないにも関わらず…
だから発見的統制が必要になるのです。
予防的統制が難しいという例も挙げておきます。
ネットワークを分離したり、アクセス権限を絞り込んだりなど、予防策はいろいろ打つことができます。
ところが、年金機構の事故の原因は、基幹システムで完結しないイレギュラーな業務が発生していたことだと思います。
つまり、業務のやり方の見直しから考えないと意味がないのです。
(ネットワークを分離したり、アクセス権限をガチガチに絞ったとしても、人間は必ずイレギュラーを作ってしまいます)
今回の報告書においても、「業務改革」の必要性について触れられています。
そして言わずもがな「発見的統制がなぜ難しいのか?」というお話。
まず、トリアージが難しい。年金機構の事件は典型的なトリアージの失敗です。
そして「想像力」の問題。これはBCPでも言われていることですが、コトが起こっていない段階で、それを想像して、抜かりない準備をおこなうことは難しいのです。筆者はコンサルタントとして、複数のインシデント対応の支援をおこないましたが、インシデントの大半は担当者の想像を超えた形で突然やってきます。想像していないことなので、体が動かない、正しく意思決定ができないのです。実際にインシデントを経験してみないとこのような想像力は身につかないのだと思います。
トリアージの基準を作ります、レポートラインを作ります、検知システムを導入します、など色々とおこなうことになるのですが、魂が抜けたもの、イザという時に役に立たないものが出来上がってしまいます。
CSIRT構築において、コンサル等の外部リソースを活用する場合は、「想像力を買う」ということを肝に銘じてください。
絵に描いた餅が大量生産されることが最大の危惧です。