はじめまして。CSIRTの松田です。 今年の4月からセキュリティエンジニアとしてSansanで働いています。 前職では主にインフラエンジニアとして物理的な配線設計から保守運用まで幅広く携わりました。 インフラと向き合う中でセキュリティ対策装置に触る機会が多く、その奥ゆかしさに惹かれてセキュリティの世界にのめり込み、今に至ります。
私がSansanのセキュリティエンジニアに転身しようと考えた理由は、自身の経験が活かせることはもちろんですが、社としてのセキュリティに対する思いに共感したからです。
セキュリティと利便性を両立させる
これは企業理念「Sansanのカタチ」のPremiseとして、相反するセキュリティと利便性の両方に徹底的に向き合うことを掲げています。 この、一見相反する両立が難しい事柄と常に向き合うことで圧倒的に成長できると確信しSansanのセキュリティエンジニアとなりました。
本記事は、これからセキュリティエンジニアを目指す方、興味のある方、そもそもCSIRTってどんな業務をやっているか謎だという方に少しでも参考になれば幸いです。
セキュリティエンジニアと言っても幅広い意味を持つので、その一要素であるCSIRTに焦点を当てます。私自身、CSIRTに従事するのは今回が初めてだったため、表面的には理解していたものの実際にどのような業務を行うのか理解を深める目的で情報を整理し、まとめてみました。
CSIRT
CSIRTとは「Computer Security Incident Response Team」の略で、組織内でインシデントが発生した場合に窓口として機能し、関係者と連携して迅速に事態を収束する組織のことです。一般的なCSIRTの主な業務を4つに分けて簡単に説明します。
- インシデント対応
- 社内外からの問い合わせ対応
- 情報収集と発信
- 組織のセキュリティ品質の維持向上
1. インシデント対応【インシデント発生時】
インシデント発生時には被害を極小化するように組織全体を巻き込んで迅速に事態を収束させる。
2. 社内外からの問い合わせ対応【平常時】
主にインシデント対応となる前の状態を指し、セキュリティに関する疑問や技術的な問い合わせなどに対応する。時としてインシデントの発見に繋がるケースもある。常にアドバイザーとして自組織に必要なセキュリティ対策への助言を行う。
3. 情報収集と発信【平常時】
情報収集は幅広い意味を持ち、最新の技術動向の調査から国内外で起きたインシデントの調査、最新の攻撃手法の調査など多岐にわたる。収集した情報を元に自社で活用できるか、インシデントであれば同様の問題が発生しないか調査し、必要に応じ先回りして対策を講じる。収集した情報を元に社内に対して注意喚起や対策などの発信を行う。
4. 組織のセキュリティ品質の維持向上【平常時】
社内で利用しているシステムやサービスに対するリスクを分析・評価し、必要に応じて適切なセキュリティの対策を施す。インシデントの未然防止を目的とするセキュリティ関連技術について継続的に社員へ情報を提供する。自組織のセキュリティ要件を策定し要件に見合ったツールやアプリケーションが利用されるように製品のセキュリティ評価を行う。
上記の説明としてポイントとなるのは、 「Incident Response Team」というだけあって毎日インシデント対応をしているかといえば、それは当然違います。来る日も来る日もインシデント対応していては、精神的にも肉体的にも厳しいですし、それはそれで問題です。 インシデント発生時に適切に対応できることはもちろんですが、もっとも重要なのは平常時に如何に準備し対策するかということです。
CSIRTは今となっては一般に広く認知され、多くの企業が組織内に構築しています。企業によっては守るべき対象が大きく異なることから、CSIRTの業務内容や取り扱う範囲が異なる場合がある点についてはご承知おきください。
Sansan-CSIRT
Sansan株式会社のCSIRT「Sansan-CSIRT」は2015年に設立されたCISO直轄の組織です。
特徴はセキュリティ対策が適切に維持向上されることを目的として、各プロダクトの開発部門や社内システム部門のエンジニアを兼任とする仮想的な組織を設けているところです。 兼任とするCSIRTメンバーと密に情報連携することによって確実に必要なセキュリティ対策がプロダクトと社内システムに反映される状態を構築しています。
さて、前段が長くなりましたがSansan-CSIRTに配属となって早8ヵ月が経過しました。私の現在の役務と必要となるスキルセットについて軽く触れたいと思います。業務内容はこれまでに説明した一般的なCSIRTと大きな乖離は無いと思います。
私の役務
Sansan-CSIRTの役務をよりわかりやすく具体的にした表を作成しました。
| 役務 | 業務内容 |
|---|---|
| 社内外連携 | 社内外組織との情報交換や問い合わせ窓口を担う |
| 情報発信 | 社内外組織に対して情報の発信を担う |
| 情報収集分析 | SNSや社外との情報連携で得た有益な情報を分析し自組織への影響の判定を担う |
| 社内衛生管理 | プロダクトや社内システムのソフトウェア情報を収集し脆弱性が無いか、対策が継続的に実施されているかなどの確認を担う |
| 戦略推進 | 課題に対する解決策を提示し、事業の成長に則した戦略の推進を担う |
| インシデント対応 | インシデント発生時に優先度を適切に判断し、関連部門へ協力を依頼し迅速な事態の収拾を担う |
| 教育監査 | 社内のリテラシ向上を目的とした継続的な教育や啓発を担う |
CSIRTは組織として幅広く活動する必要があるため、役務を分担し成果を最大化します。私の役務の1つに「戦略推進」があります。ここからはSansan-CSIRTの課題とその解決に至る策をどのような考え方で推進したか説明します。
守るべき対象
まず、Sansan-CSIRTの守備範囲を明確にします。
- 提供しているプロダクト
- 社内システム
- ユーザ(お客様、社員)
お客様に対してサービスを継続的に安心して利用して頂くことはもちろんですが、今回の戦略で重点を置いたのは「社員を守ること」です。
考えてみたら当たり前ですよね?
残念ながら世の中にはガチガチのセキュリティ対策によって身動き取れず苦しんでいる方がたくさんいます。私もその1人でした。この経験を軸に次の課題と向き合いました。
生産性低下を招くセキュリティ対策
Sansanでは多くの社員が働いており、表参道の本社以外にもサテライトオフィスが複数拠点あります。在宅勤務制度を利用してリモートワークを実施することもできます。営業メンバーはお客様へプロダクトの魅力を伝えるために訪問するなど、社外で仕事をする機会も多々あります。この現状をふまえると社員の働き方や働く場所に依存しないセキュリティ対策が必要となります。 一方で、高度な攻撃手法は日々開発され、侵害までに必要とする時間も短くなっています。従来のアンチウイルスソフトが得意とするシグネチャ(ルール)ベースのパターンマッチングでは、新たなシグネチャが端末上で利用可能になるまでに時間を要するため、対応が遅れる可能性があります。さらに、パターンマッチングによる検知は定期的に端末上をスキャンして悪意のあるファイルを見つけ出すことが端末の動作不良に繋がり、社員からの報告が相次ぐことがありました。 このように技術的な限界がきている中で、すべての社員の生産性を維持するため、従来のセキュリティ対策を検討し直す必要が出てきました。ここでもう一度Premiseと向き合います。
どうすればよいか?
出した答えは従来のアンチウイルスソフトからEDR(Endpoint Detection and Response)へ乗り換え、セキュリティ対策レベルを押し上げることです。もともと前職では幅広い製品を扱ってきた経験もあり、この辺の技術選定は難しくありませんでした。EDRをざっくり説明すると働く環境に依存しないセキュリティ対策と対応を可能にします。従来のアンチウイルスでは端末が不審な挙動を示す通知をCSIRTが受け取ると、大抵の場合その端末をCSIRTが回収して周囲に感染が広がらないように安全な状態を確保したあと、やっと調査が始まります。これが同じ場所で働く社員であれば対応に苦労しませんが、サテライトオフィスやリモートワークを前提とした対応だと、端末の状態をヒアリングするにも四苦八苦し配送手配など調査を始めるハードルが非常に高く事態の迅速な収束には膨大な時間とコストを要します。 EDRは前述の課題を丸ごと解決し、セキュリティと利便性を両立するPremiseに非常にマッチしていました。例えリモートワーク中の社員の端末で不審な挙動を検知しても、生産性を落とさずに迅速に事態を収束させることができます。
この辺りのテクニカルな話は次回以降にたっぷりお話できればと思います。
最後に
今回はCSIRTの業務をメインにお話してきました。自組織にもあるけど何をやっているかわからない! という方に少しでも理解頂けたら嬉しい限りです。 今後はこれまで以上にPremiseと向き合い、社内外への情報発信を積極的に行い情報収集力をつけると共に、プロダクトとユーザを支えるSansan-CSIRTの一員としてさらに成長していきたいと思います。
