はじめに
こんにちは。SRE 兼 CSIRT の izzii(𝕏)です。Flatt Security mini CTF #4 に参加して入賞景品のTシャツをゲットできたのが最近のプチ自慢です。
さて本日の記事は、テックタッチにおいて私含む現場のメンバー(izzii, kacchan, ue)が Computer Security Incident Response Team (CSIRT) を設立した経緯について、立ち上げまでの準備や設計について記述します。CSIRT 立ち上げに関心を持つ方、セキュリティインシデント対応に不安を感じている方が、CSIRTマテリアルや有償の書籍といった教科書と併せて、具体例として参考にしていただけると幸いです。
CSIRT とは
日本シーサート協議会から定義を引用します。
シーサート (CSIRT: Computer Security Incident Response Team) とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。
CSIRT はコンピュータセキュリティのインシデントに関して学び、対応するため専門チームだと定義されています。実際にはより多くの機能を備えた組織を CSIRT と称している場合もあり、会社によって役割にバラツキはあります。 イメージしやすいようにより具体的にセキュリティインシデントを例示すると、
- PC 端末などの紛失
- 利用しているシステムからの情報流出
- 電子メールの誤送信
などです。
CSIRT を立ち上げるモチベーション
CSIRT を設立しようと考えたきっかけは、他社のインシデント対応の失敗を目の当たりにしたことです。インシデント対応の不十分さが企業の信頼を大きく揺るがしうることを学び、対策の必要性を痛感しました。同様の失敗でテックタッチの信用が失われるのは絶対に避けたい、というが根底のモチベーションです。その他に CSIRT が組織にとって必要だと考える理由は以下です。
セキュリティインシデントは避けられない
小さなインシデントを含めれば、人や IT 資産が存在すれば必ず起こります。規模の大小に関わらずどの企業でも、SNS やニュースで話題になるレベルのインシデントが起こり得ます。
意思決定者の訓練機会の不足
インシデントは災害と一緒で、訓練をしなければ最善の行動を取ることは難しいはずです。その上でサイバー空間の脅威は常に変化します。専門チームによって意思決定者をサポートする必要があります。
世界的なインシデントレスポンスの重要性の高まり
例えば GDPR では個人情報の漏洩の検知から報告まで 72 時間という制限を設けています(サイバーセキュリティに関する国際動向)。日本でも 3 日から 5 日以内の告知が要求されています( 漏えい等報告・本人への通知の義務化について)。さらに台湾では上場企業がサイバー侵害を受けた場合、30 分以内に Taiwan Stock Exchange (TWSE) と Financial Services Commission (FSC) に報告する義務を課し始めました(Cybersecurity in Taiwan)。今後も世界中で特にインシデントレスポンスのスピードの水準は高まっていくものと思われます。
CSIRT 作りの準備
教科書に学ぶ
上記の通り CSIRT によるインシデントレスポンス機能が会社にとって必要だと想像はしていましたが、改めて自分達の仮説を客観的に評価したいと考え、調査しました。我々が目を通した中では、サイバーセキュリティ経営可視化ツールとセキュリティ対応組織の教科書を用いるのが、定番かもしれませんがオススメです。まずサイバーセキュリティ経営可視化ツールを用いることで、客観的に自分達の会社に不足しているセキュリティ機能をレーダーチャートの形であぶり出すことができます。
さらにセキュリティ対応組織の教科書では、会社が持つべきセキュリティ機能が分類されているだけでなく、それらの優先度も記載されており、インシデント対応を整理することが今のテックタッチにとって重要であることを客観的に把握することができました。
こうした専門家による資料は経営層に対する説明資料にも活用することができました。
他社に学ぶ
教科書とリアルの違いを学ぶために、 エンタープライズ SaaS の大先輩である Cybozu の CSIRT 組織 Cy-SIRT にお声がけし、オンライン MTG の時間をとって頂いた上で、実際の CSIRT 運用並びにセキュリティ組織の成り立ちなどをご教示いただけました。併せて僕らの仮説をぶつけて、答え合わせをすることもできました。この場で日本シーサート協議会や SaaS セキュリティの会といったコミュニティを紹介していただき、生の現場の声にたくさん触れることのできる機会をいただけました。
テックタッチにおける CSIRT の設計
スモールスタートするための責任境界
まずは責任境界を明確にしました。設計のゴールを定義することと、外部から見た際に一貫性のある役割が期待できる組織にしたかったことが理由です。テックタッチの CSIRT の役割は、主体的な実行者ではなく、最適な行動を促すコンサルタントと位置付けました。
インシデント事象は個別で見るとハイコンテクストであり、セキュリティに関する知識だけでは対応できません。横断的に人員を集めれば役割を全部盛りできるかもしれませんが、モチベーションの高いメンバーだけの組織としてスタートしたかったのです。現状はこれで十分機能しています。
注意ですが、予防的措置についてはテックタッチの CSIRT で役割を持っていません。別の組織が主体となっています(所属メンバーは結構被ってるんですけどね)。予防的措置を実施する主体との責任境界の設計も重要だと思います。
ちゃんと機能する!ハンドリングマニュアル
絶対に回るマニュアルを作成するために
- 基本インシデント対応マニュアル
- 応用インシデント対応マニュアル
の 2 種類を作成しました。先に「応用インシデント対応マニュアル」の説明をしますが、こちらには、我々の考える、テックタッチで今後起こる可能性の高いインシデント 10 選を、PR チームと机上訓練を行った上で清書した資料になります。なぜ PR チームかというと、セキュリティインシデントが重篤化した際に、一番難易度が高いのは情報発信だと考えたからです。お互い認識を合わせることで、インシデントの正しい沈静化をシミュレートしました。発生するインシデントはパレートの法則に従い、大半は同様のインシデントです。よってこのマニュアルによってカバーされる想定です。セキュリティインシデントをテーマにしたボードゲームからネタを仕入れたりしました。
もう 1 つの「基本インシデント対応マニュアル」は、CSIRTマテリアル 運用フェーズに掲載されている資料やサイバー攻撃被害に係る情報の共有・公表ガイダンスから集めた情報をテックタッチに合う形にまとめた資料になります。目的は「応用インシデント対応マニュアル」では漏れてしまうインシデントの際に指針が必要だと考えたからです。こうした資料は長大であり、どうしても IT スタートアップ企業という特殊な条件ではそのまま利用できないため、テックタッチで実際に利用できる形にカスタマイズしました。
窓口の明確化
最後にセキュリティインシデント報告の窓口を設計しました。Slack チャネルです。混乱を避けるために、インシデントだと思えば投稿して良いという方針にしました。セキュリティインシデントでない場合は他チームに回すだけになるのですが。セキュリティインシデントかわからない場合に報告を躊躇してほしくないためです。例えば社員や会社が SNS で炎上したような場合は判断が難しいでしょう。
継続的なスペシャリティの維持
これはまだ回りきっていません!(なのにこんな記事書いちゃってすみません)日本シーサート協議会などのコミュニティに入り込んでいくことで生の情報収集サイクルを加速させていきます。日本シーサート協議会に参加するためには加盟組織による推薦が必要なのですが、こちらは Cy-SIRT にお願いさせていただきました。本当に何から何まで感謝です。
さいごに
CSIRT の立ち上げのモチベーション、準備、設計について解説しました。本来ならば、その効果についても書きたいところですが、機密に触れるのでやめます笑 この文章が、誰かの参考資料となれば幸いです。諸々をセキュリティベンダーに任せることも可能だったかもしれませんが、やはり自分たちで組織を一から設計するのは楽しかったです。急成長する組織において、セキュリティは改善を続けなければ持続不可能だと思っているので、これからも改善を続けたいと思います。
改めて Cybozu の Cy-SIRT の皆様には心から感謝の意を表明します。我々も Cy-SIRT のように業界の発展に寄与できるように精進します。最後にささやかなお礼も込めて Cy-SIRT(= Cybozu のセキュリティ室)の自己紹介記事をシェアします。
https://note.com/security_cybozu/n/n205795917f1fnote.com
参考
CSIRTマテリアル
日本シーサート協議会
サイバーセキュリティに関する国際動向
漏えい等報告・本人への通知の義務化について
Cybersecurity in Taiwan
サイバーセキュリティ経営可視化ツール
セキュリティ対応組織の教科書
Cy-SIRT
サイバー攻撃被害に係る情報の共有・公表ガイダンス
