2020年の大規模サイバー攻撃に備えよ！（後）

技術的な立場による、日本の窓口インシデント対応組織

　主催者であるJNSA社会活動部会長である丸山司郎氏の挨拶の後、まず中立的な立場から真鍋敬士氏（JPCERT/CC）が話の口火を切った。

　JPCERT／CC（Japan Computer Emergency Response Team Coordination Center）は技術的な立場による日本の窓口インシデント対応組織・CSIRT（Computer Security Incident Response Team）である。国内外から寄せられるインシデント報告の対応を中心とした情報セキュリティ対策活動のコーディネーションを行っている。

　主な活動としては、「インシデント対応」「脆弱性情報ハンドリング」「インターネット定点観測システムの運用」「早期警戒」「国際連携」「アーティファクト分析」「制御システムセキュリティ」「国内の関係組織やコミュニティとの連携」の8つがある。インシデントについては、報告の受付、対応の支援、発生状況の把握、手口の分析、再発防止のための助言まで行っているが、あくまでも、特定の政府機関や企業から独立した中立の組織として活動している。

最低限に必要なセキュリティ対策ができてないお客さまも

　JPCERT／CCのインシデント対応状況（2017年4～18年3月）によると、同組織への全報告件数は18,141件、全インシデント件数は18,768件で、逆に同組織から企業や組織への全調整件数は8,891件となっている。現在、インシデントを自組織で発見する割合は62％、外部組織からの連絡で知る場合は38％となっている。4、5年前とその比率は逆転した。自組織で発見できれば、対応・処理が短縮できる。

　では、迎え撃つ民間セキュリティベンダーはどうなっているのか。JNSAの調査では、民間の緊急対応支援ベンダーは21社という発表があった。日本には、大企業は約1万社、中小企業は380万社（中規模企業は50万社）あるが、21社で十分なのだろうか。

　そのなかから、岡本勝之氏（トレンドマイクロ（株））、徳田敏文氏（日本アイ・ビー・エム（株））、内田法道氏（（株）ラック）の3名が短いスピーチをした。読者に役立ちそうな発言を順不同で拾ってみた。

　「相談いただいただけで、解決がついてしまう案件も多くあります」「自分のところだけは狙われないという考えは捨ててください」「最低限に必要なセキュリティ対策ができていないお客さまも多い（後手に回り対応に長時間かかる）」「年間契約の場合事前であれば、600万円～1,000万円、事後は1,000万円以上になるケースも」「インシデント対応費用の平均は約270万円だった」「対応時間は20時間～800時間と様々」「インシデントが起きても経営者に当事者意識が欠ける場合も」

　最後のQ&Aでは今後の問題点が2つ指摘された。1つ目は、日本企業では、CISO（Chief Information Security Officer 最高情報セキュリティ責任者）がいて、CSIRT（Computer Security Incident Response Team）があっても、外資系企業の様に十分な権限移譲が行われていない。CISOの決定がCEOなどに反故にされてしまうケースもある。

　2つ目は、2020年への対応が不十分ということ。民間企業にコストとなるセキュリティ対策をすべて任せることは難しい。国としても、一刻も早い十全な対応が望まれる。

（了）
【金木　亮憲】