ニューノーマル時代における CSIRT 活動

(1)

[解説]

ニューノーマル時代における

CSIRT 活動

CSIRT Operations in the New Normal era

177 テクノクロス株式会社星敬一 NTT TechnoCross Corporation Keiichi HOSHI

要旨新型コロナウイルスの爆発的感染拡大に伴い，企業や機関等における事業環境は一変し，その変化に乗じたサイバー攻撃も急増している．サイバーセキュリティ環境が急激に変化する中，インシデント対応に関わるCSIRT 活動も見直しが必要となっている．本稿では，コロナ禍において急激に変化した業務環境，ネットワーク利用環境，サイバー攻撃の動向を整理し，その変化が及ぼす影響と今後の方向性について論じる．テレワークが急増している業務環境の変化は従業員を孤立させ，連絡手段，支援体制の確保，共同作業環境の整備を必要とする．この変化に連動して，自宅等からのリモートアクセスとクラウド利用が加速している．ネットワーク機器，サーバ等のリソース，帯域の確保に加え，脆弱性管理，設定管理が急務である．ネットワーク利用環境が著しく変化する中においては，組織の「場所」で守る境界防御は限界にきており，「ゼロトラスト」という概念が注目されている．ゼロトラストネットワークにおいては，エンドポイントでの防御・検知の強化，本人認証とそれに紐づく権限管理が重要になる．サイバー攻撃の動向も変化している．VPN に対する攻撃，二重恐喝ランサムウェア，混乱や不安に乗じたフィッシングサイトやビジネスメール詐欺の増加が特徴的である．こうした環境の変化は一時的なものではなく，デジタルトランスフォーメーションの加速とともに，新たな「通常」として常態化していくであろう．ニューノーマル時代の_{CSIRT 活動においては，} IT 資産管理/脆弱性管理/リスク管理の統合，ID（アイデンティティ）管理/権限管理，リスクアセスメントとプライオリティによる意思決定プロセス，人/場所/システムの分散と情報の集中のコントールが必要となる． CSIRT が経営層を支援し，情報システム担当部署とも密接に連携して，自組織内の戦略，実情に合わせてマネジメントしていくことが重要である．キーワードテレワーク，ニューノーマル，CSIRT，ゼロトラスト，デジタルトランスフォーメーション１はじめに新型コロナウイルスの爆発的感染拡大に伴い，全世界でこれまで経験したことのない深刻な影響が発生している．事業を営む企業や機関等（以下，組織）では，出社が規制され在宅勤務等のテレワークを余儀なくされている．これに伴い，業務環境が一変し，従来の業務をどうやって継続すべきかが大きな課題となっている．この業務環境の変化は，ネットワーク利用環境も変化させ，この変化に乗じてサイバー攻撃の動向も変化している．サイバーセキュリティ環境が急激に変化する中，インシデント対応に関わる_{CSIRT 活動も見直しが必要となっている．本稿で} はコロナ禍における環境，動向の変化を整理し，それに適切に対応するための CSIRT 活動の要諦につ

(2)

日本セキュリティ・マネジメント学会誌 Vol.○○, No.○ いて論じる．２_{CSIRT 活動} ２.１. CSIRT の必要性近年，インターネットを中心にネット社会が急拡大し，情報システムは組織の活動に欠かせないインフラ設備になっている．端末，サーバ，ネットワークで相互に接続されたサイバー空間上では，インターネットを介して全世界が接続されている．サイバー空間は，これを効果的に活用する組織に対して，容易にグローバルな事業展開を可能とする恩恵をもたらす一方，不正アクセスやウイルス感染等のサイバー攻撃の負の影響も及ぼす．サイバー被害は一瞬にしてインターネットを通じてグローバルに拡散していく特徴もある．こうしたネット社会の中で活動する組織においては，自組織内の情報システムをシステム管理者のみで防衛するには限界があり，他組織と連携しながらサイバーセキュリティに取り組む必要が生じている．

CSIRT（シーサート：Computer Security Incident Response Team）はこうしたネット社会の急拡大とともに生まれた体制の総称である．２.２. CSIRT の目的と主な活動 CSIRT の目的は被害局限化と予防保全である．被害局限化とは，主にサイバー空間上で発生するセキュリティを脅かすような好まざる事象，つまりインシデントを速やかに検知し，被害発生時にはその影響範囲を特定するとともに，当該事象が拡散しないように封じ込めて被害を鎮静化，復旧させることである．予防保全とは，事業リスクを軽減させるため，インシデントが発生しないように事前に様々な調査や対策を実施しておくことである．CSIRT の活動は大きく以下の３つのカテゴリに分類できる[1]． a. インシデント事後対応サービス b. インシデント事前対応サービス c. セキュリティ品質向上サービス活動内容は CSIRT を設置する組織により千差万別であるが，一般的には，被害局限化のためのインシデントハンドリング（上記 a），ソフトウェアやハードウェアの脆弱性情報を収集・分析して対応を管理する脆弱性情報ハンドリング（上記 b），セキュリティ関連情報（注意喚起や対応ノウハウ等）を提供する情報提供（上記 b）を実施するケースが多い．また，CSIRT が提供する活動範囲により，組織内 CSIRT，国際連携 CSIRT，コーディネーションセンター，分析センター等，様々なタイプが存在する[2]．本稿では，組織内CSIRT を対象とし，上記 a，b，c 全ての活動内容を対象とする．３最近の事業環境の変化３.１. 業務環境の変化３.１.１._{急増するテレワーク} 新型コロナウイルスの流行に伴い，緊急事態宣言が発令される中，在宅勤務を中心とするテレワークが急増している．企業規模，業種・業態によっても状況は異なるが，厚生労働省の2020 年 5 月～6 月における企業調査によると，テレワーク実施率が全体で 67.3％，従業員 300 人以上の企業では 90％との報告がある[3]．テレワークにより，働き方改革が進んだ，業務プロセスの見直しができた，業務の生産性向上やコスト削減につながった等の効果を実感する声も多数あがっている．またその後の実態調整によれば，すでにテレワークを導入している企業において，43％が継続・拡大したいと回答している[4]．コロナ禍におけるテレワークは，パンデミック対策として急遽実施せざるを得なかった背景がある．準備が不十分なままテレワークに踏み切った組織も多いと思うが，テレワークを経験してみて効果を実感した組織は，デジタルトランスフォーメーション（DX）1_{を推進する観点からも，さらなる業務プロ} セスの変革，デジタル技術の導入，ワークライフバランスの実現を求めて，コロナ禍が収束する今後においても，テレワーク環境を一定規模継続するもの 1_{デジタル技術を駆使してビジネスに変革をもたら} し，社会や生活の質を高めていくことニューノーマル時代におけるCSIRT 活動 [解説]

ニューノーマル時代における

CSIRT 活動

CSIRT Operations in the New Normal era

177 テクノクロス株式会社星敬一 NTT TechnoCross Corporation Keiichi HOSHI

要旨新型コロナウイルスの爆発的感染拡大に伴い，企業や機関等における事業環境は一変し，その変化に乗じたサイバー攻撃も急増している．サイバーセキュリティ環境が急激に変化する中，インシデント対応に関わるCSIRT 活動も見直しが必要となっている．本稿では，コロナ禍において急激に変化した業務環境，ネットワーク利用環境，サイバー攻撃の動向を整理し，その変化が及ぼす影響と今後の方向性について論じる．テレワークが急増している業務環境の変化は従業員を孤立させ，連絡手段，支援体制の確保，共同作業環境の整備を必要とする．この変化に連動して，自宅等からのリモートアクセスとクラウド利用が加速している．ネットワーク機器，サーバ等のリソース，帯域の確保に加え，脆弱性管理，設定管理が急務である．ネットワーク利用環境が著しく変化する中においては，組織の「場所」で守る境界防御は限界にきており，「ゼロトラスト」という概念が注目されている．ゼロトラストネットワークにおいては，エンドポイントでの防御・検知の強化，本人認証とそれに紐づく権限管理が重要になる．サイバー攻撃の動向も変化している．VPN に対する攻撃，二重恐喝ランサムウェア，混乱や不安に乗じたフィッシングサイトやビジネスメール詐欺の増加が特徴的である．こうした環境の変化は一時的なものではなく，デジタルトランスフォーメーションの加速とともに，新たな「通常」として常態化していくであろう．ニューノーマル時代の_{CSIRT 活動においては，} IT 資産管理/脆弱性管理/リスク管理の統合，ID（アイデンティティ）管理/権限管理，リスクアセスメントとプライオリティによる意思決定プロセス，人/場所/システムの分散と情報の集中のコントールが必要となる． CSIRT が経営層を支援し，情報システム担当部署とも密接に連携して，自組織内の戦略，実情に合わせてマネジメントしていくことが重要である．キーワードテレワーク，ニューノーマル，CSIRT，ゼロトラスト，デジタルトランスフォーメーション１はじめに新型コロナウイルスの爆発的感染拡大に伴い，全世界でこれまで経験したことのない深刻な影響が発生している．事業を営む企業や機関等（以下，組織）では，出社が規制され在宅勤務等のテレワークを余儀なくされている．これに伴い，業務環境が一変し，従来の業務をどうやって継続すべきかが大きな課題となっている．この業務環境の変化は，ネットワーク利用環境も変化させ，この変化に乗じてサイバー攻撃の動向も変化している．サイバーセキュリティ環境が急激に変化する中，インシデント対応に関わるCSIRT 活動も見直しが必要となっている．本稿ではコロナ禍における環境，動向の変化を整理し，それに適切に対応するための CSIRT 活動の要諦につニューノーマル時代における CSIRT 活動

(3)

と考えるのが妥当であろう．３.１.２._{その影響と今後の方向性} テレワーク環境下においては，従業員の勤務場所は組織内のオフィスとは限らず，勤務場所は特定されない．したがって，従業員が利用している端末やネットワーク環境も一様ではない．オフィスに電話しても，連絡をとりたい従業員に連絡できる保証はない．業務上のトラブル発生時や相談，助けが必要な時でさえ，周囲に相談できる相手，支援してもらう相手が存在しない．このように従業員は孤立した環境で業務に従事することになる．何よりも大事なことは，連絡手段の確保である．チームで共同作業，あるいは密接に連携して業務を進めるケースにおいては，ビジネスチャットや Web 会議等の相互のコミュニケーションツール，資料やデータ等の情報共有手段，プロジェクト管理や共同作業のための電子白板等のコラボレーションツール等の統一・拡充が必要である[5]．孤立した環境だからこそ，それらをつなぐ支援ツールが必要不可欠となる．３.２._{ネットワーク利用環境の変化} ３.２.１. 多様化するネットワーク利用環境総務省は，2021 年 2 月，我が国におけるインターネットトラヒックの集計結果を公表した[6]．本調査によると，2020 年 11 月集計における国内の個人向け固定系ブロードバンド契約者の総ダウンロードトラヒックは前年同月比56.7％増，総アップロードトラヒックは同51.1％増と報告されている．2020 年 5 月集計時に大幅に増加したトラヒックがさらに増加傾向を示し，3.1.1 項で説明したテレワーク急増の変化が「新たな日常」として定着している状況がうかがえる，とも報告されている．テレワーク急増に伴う変化は自宅等からのアクセスの急増に留まらない．2021 年 1 月のトレンドマイクロ社の調査によると，新型コロナウイルスの感染拡大で，世界全体では87.2％，日本では 78.0％の法人組織がクラウド利用を加速させている[7]．DX が求められる中，コロナ禍における業務の継続手段としてもクラウド利用は益々加速していくものと考えられる．ネットワーク利用環境はアクセス元，アクセス先ともに急激に多様化が進んでいる．３.２.２. その影響と今後の方向性ネットワークの利用形態が多様化するため，従来の「通常」の状態が変化している．量的側面，質的側面で注意が必要である．量的側面では，VPN （Virtual Private Network）等リモートアクセスを実現するためのネットワーク機器，サーバ等のリソース，帯域の確保が必要である．通常の業務を維持するための可用性を重視した運用が求められる．リモートアクセスのトラヒック集中に備えて，代替手段確保やBCP（Business Continuity Plan：事業継続計画）策定も重要である．質的側面では，多様化する環境に関する脆弱性管理，設定管理，認証・認可が重要である．従来とは異なる多様なネットワーク環境の中でも，正しい人が正しい使い方で，かつ安全な状態で利用できる必要がある．コロナ禍の状況では，可用性を重視するあまり，質的側面の管理が疎かになりがちである．機密性，完全性の確保も同時に求められる．質的側面の確保はアクセス先である組織内環境やクラウド環境のみならず，アクセス元の自宅等の環境においても同様である．トレンドマイクロ社は「2021 年セキュリティ脅威予測」の中で，「攻撃者はホームオフィスを新たな犯罪拠点に」と警告を発している[8]．自宅のルータや無線 LAN は格好の標的となり，そこを踏み台に組織内に侵入される可能性があることにも注意が必要である．こうしたネットワーク利用環境が著しく変化する中においては，組織の「場所」で守る境界防御は限界にきているとされ，「ゼロトラスト」という概念が注目されている[9]．ゼロトラストネットワークにおいては，エンドポイントでの防御・検知の強化，本人認証とそれに紐づく権限管理が重要になってくる．

(4)

日本セキュリティ・マネジメント学会誌 Vol.○○, No.○ ４ CSIRT から見た最近のサイバー攻撃動向の変化前章で説明した事業環境の変化を捉えて，サイバー攻撃も変化している．サイバー攻撃は，今後も攻撃者から見て最も効果的と思われる標的に狙いを定めて変化していくものと想定される．本章では，特にコロナ禍において急増している特徴的なサイバー攻撃の動向について説明する．４.１. VPN に対する攻撃 2020 年 8 月，11 月にそれぞれ，VPN 暗証番号流出，VPN 製品パッチ2_{未適用リスト公開等，}_{VPN に} 対するサイバー攻撃が急増していること，あるいは今後急増する恐れがあること，が大きく報じられた [10][11]．事実，被害内容が詳細に公表されている事例もある[12]．これらは，2019 年に多くの VPN 製品で報告された脆弱性が原因となっている可能性が高い[13]．ネットワーク利用環境の変化に伴い，VPN ニーズが急増し，可用性重視のあまり脆弱性管理が追いついていないと考えられる．４.２. 二重恐喝ランサムウェアサイバー攻撃により重要なデータを暗号化してアクセスできない状態にし，データ復旧と引き換えに身代金を要求するランサムウェア攻撃が一般に知られている．事業継続が特に求められる組織においては大きな脅威となっている．独立行政法人情報処理推進機構（,3$）は，ランサムウェアの攻撃の手口が変化していると注意喚起している>@．攻撃者は標的を定め，自身の手で標的組織内に侵入して，気づかれないように最も効果的な攻撃をしかけるのである．ツール等による一斉攻撃よりも被害が大きくなる可能性がある．また，データ復旧の身代金要求に加えて，データを公開すると脅迫して，さらに身代金を要求する二重恐喝ランサムウェアも増加している．警察庁は，年月，二重恐喝ランサムウェアの被害 2_{セキュリティ上の脆弱性を修正するプログラム} が発生していると警鐘を鳴らしている>@．業務継続の危機に加えて，機密情報漏洩の危機をもたらすことで，高額な身代金要求に応じさせる狙いがあるのであろう．重要なデータのバックアップ対策に加えて，情報漏洩対策も重要となる．４.３._{混乱や不安に乗じた攻撃} これまで経験したことのないコロナ禍の状況においては，従業員は業務環境の変化に不慣れなため，混乱や不安も多い．こうした混乱や不安に乗じて，フィッシングサイトやビジネスメール詐欺，不正アプリ（例えば，偽Web 会議アプリ）等が急増していると報告されている[16]．巧妙に仕組まれた攻撃は本物と見分けがつきにくく，テレワーク環境においては，相談できる相手が周囲にいないため個人で判断しなければならない．このような環境も被害を受けやすくする要因の一つと考えられる．４.４._{動向の変化が及ぼす影響と今後の方向性} リモートアクセスの急増に伴い，VPN や RDP（リモートデスクトップ）等のサーバ機器が増加している．急遽増設することも多いであろう．また，リモートアクセス環境に対する攻撃も急増していることから，こうした環境のIT 資産管理，脆弱性管理，リスク管理の強化が必要である．さらに，4.1 節でも説明したとおり，認証情報が漏洩している可能性も否定できない．ID 管理を徹底するとともに，多要素認証，特権管理，権限管理の強化も求められる．特に，リモートアクセス環境下においては，本人になりすまされた不正アクセスの検知は困難である．3.2.2 項で説明した本人認証とそれに紐づく権限管理の重要性に帰結する．業務環境，ネットワーク利用環境の変化を捉えたサイバー攻撃は可用性を重視する組織の弱みを突いてくる．リモートアクセス環境を狙った DDoS（分散サービス停止）攻撃やランサムウェア攻撃に対する備えも必要である．つまり，3.2.2 項で説明した重要なサービスの代替手段確保やBCP 策定，さらに，ニューノーマル時代におけるCSIRT 活動と考えるのが妥当であろう．３.１.２._{その影響と今後の方向性} テレワーク環境下においては，従業員の勤務場所は組織内のオフィスとは限らず，勤務場所は特定されない．したがって，従業員が利用している端末やネットワーク環境も一様ではない．オフィスに電話しても，連絡をとりたい従業員に連絡できる保証はない．業務上のトラブル発生時や相談，助けが必要な時でさえ，周囲に相談できる相手，支援してもらう相手が存在しない．このように従業員は孤立した環境で業務に従事することになる．何よりも大事なことは，連絡手段の確保である．チームで共同作業，あるいは密接に連携して業務を進めるケースにおいては，ビジネスチャットや Web 会議等の相互のコミュニケーションツール，資料やデータ等の情報共有手段，プロジェクト管理や共同作業のための電子白板等のコラボレーションツール等の統一・拡充が必要である[5]．孤立した環境だからこそ，それらをつなぐ支援ツールが必要不可欠となる．３.２._{ネットワーク利用環境の変化} ３.２.１. 多様化するネットワーク利用環境総務省は，2021 年 2 月，我が国におけるインターネットトラヒックの集計結果を公表した_{[6]．本調査} によると，2020 年 11 月集計における国内の個人向け固定系ブロードバンド契約者の総ダウンロードトラヒックは前年同月比56.7％増，総アップロードトラヒックは同51.1％増と報告されている．2020 年 5 月集計時に大幅に増加したトラヒックがさらに増加傾向を示し，3.1.1 項で説明したテレワーク急増の変化が「新たな日常」として定着している状況がうかがえる，とも報告されている．テレワーク急増に伴う変化は自宅等からのアクセスの急増に留まらない．2021 年 1 月のトレンドマイクロ社の調査によると，新型コロナウイルスの感染拡大で，世界全体では87.2％，日本では 78.0％の法人組織がクラウド利用を加速させている[7]．DX が求められる中，コロナ禍における業務の継続手段としてもクラウド利用は益々加速していくものと考えられる．ネットワーク利用環境はアクセス元，アクセス先ともに急激に多様化が進んでいる．３.２.２. その影響と今後の方向性ネットワークの利用形態が多様化するため，従来の「通常」の状態が変化している．量的側面，質的側面で注意が必要である．量的側面では，VPN （Virtual Private Network）等リモートアクセスを実現するためのネットワーク機器，サーバ等のリソース，帯域の確保が必要である．通常の業務を維持するための可用性を重視した運用が求められる．リモートアクセスのトラヒック集中に備えて，代替手段確保やBCP（Business Continuity Plan：事業継続計画）策定も重要である．質的側面では，多様化する環境に関する脆弱性管理，設定管理，認証・認可が重要である．従来とは異なる多様なネットワーク環境の中でも，正しい人が正しい使い方で，かつ安全な状態で利用できる必要がある．コロナ禍の状況では，可用性を重視するあまり，質的側面の管理が疎かになりがちである．機密性，完全性の確保も同時に求められる．質的側面の確保はアクセス先である組織内環境やクラウド環境のみならず，アクセス元の自宅等の環境においても同様である．トレンドマイクロ社は「2021 年セキュリティ脅威予測」の中で，「攻撃者はホームオフィスを新たな犯罪拠点に」と警告を発している[8]．自宅のルータや無線 LAN は格好の標的となり，そこを踏み台に組織内に侵入される可能性があることにも注意が必要である．こうしたネットワーク利用環境が著しく変化する中においては，組織の「場所」で守る境界防御は限界にきているとされ，「ゼロトラスト」という概念が注目されている[9]．ゼロトラストネットワークにおいては，エンドポイントでの防御・検知の強化，本人認証とそれに紐づく権限管理が重要になってくる．ニューノーマル時代における CSIRT 活動

(5)

重要なデータのバックアップ対策，情報漏洩対策である．分散した環境でリモートアクセスする従業員に関しては，攻撃情報，不審メール情報，インシデント情報等を集約して共有できる手段を確保するとともに，情報伝達手段も明確にしておく必要がある．分散された環境においてこそ，情報の集約が重要である．５ニューノーマル時代における CSIRT 活動５.１. コロナ禍において直面した CSIRT 活動の課題一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会（NCA）は，コロナ禍の緊急事態宣言下における CSIRT の対応状況について，_{NCA 加盟組織にアンケート調査を行い，その調} 査結果を公表した[17]．本調査結果では，9 割以上の組織がテレワーク対応の準備を進めていたものの，インシデントの検知と対応に関する環境整備は喫緊の課題である，と分析されている．この結果を踏まえて，インシデント検知と対応それぞれに対して，・想定される課題・解決の方向性，実現手段例・組織としての備えが検討，整理されている．考慮すべき事項が詳細かつ具体的に示されているので，是非参照されたい．５.２._{ニューノーマル時代における CSIRT 活動の留} 意点と今後の方向性本節では，これまで説明してきたコロナ禍における環境，動向の変化に対応して求められる CSIRT 活動の留意点と今後の方向性について再整理する（図１）．一部，前節でご紹介した NCA の調査結果とも重複する部分もあるが，お許しいただきたい．テレワークの急増により，VPN 等のリモートアクセスも急増し，VPN 機器等を急遽増設する必要に迫られた．IT 資産管理，脆弱性管理が不十分なため，サイバー攻撃の被害も続出した．こうしたリスクが組織内に内在していることが十分に把握できていなかった．_{Web 会議，チャットツール，オンラインス} トレージ，コラボレーションツール等，新たなアプリケーションやサービスの利用も増加しているため，こうしたサービスやソフトウェアの脆弱性についても管理が必要となる．ニューノーマル時代においては，DX の加速も進み，業務環境，ネットワーク環境は変化し続けるものと想定される．クラウド利用も促進されるであろう．今まで以上にIT 資産管理を十分に行い，管理されたIT 資産に対する脆弱性管理を徹底し，把握している脆弱性に関して，そのリスクの所在と適切な対処を行っていく必要がある．このように IT 資産管理～脆弱性管理～リスク管理が連鎖して統合管理できるとともに，その管理状況を可視化，自動化して，対処も迅速化できる仕組みが必要となる．図1 今後強化すべき CSIRT 活動の方向性５.３. ゼロトラストを見据えた ID 管理，権限管理の強化３章で説明した事業環境の変化は，ネットワークの「場所」で守る境界防御の限界を示している．エンドポイントでの防御・検知，本人認証が益々重要になってくる．また，４_{.１節で説明したとおり，パ} スワード等の認証情報の漏洩リスクにもさらされて

(6)

日本セキュリティ・マネジメント学会誌 Vol.○○, No.○ いる．安易なパスワードの設定やパスワードの使いまわしを避けるのは当然のこととして，一つの認証手段に頼るのもリスクが大きい．一方，クラウド利用の加速は ID 管理，権限管理の多様化，複雑化を招く．利用するサービス，システムが増えれば，それぞれに ID 管理，権限管理が必要となるため当然である．それぞれに対して，個別に ID 管理，権限管理を行うとなれば，そこにアクセスする利用者一人ひとりにその管理の負荷を委ねることになる．そうなれば，利用者はその負荷を軽減させるためにパスワードの使いまわし等の良からぬ行為を起こしかねない．特に重要な情報を扱うサービス，システムに関しては，ID セントリックでシングルサインオン等の仕組みを活用し，多様なサービス，システムにアクセスする際の認証，認可の仕組みを統合して，管理を強化したい．あるいは，こうした仕組みが実現可能なサービス，システムに利用を制限したい．クラウド利用促進の号令のもと，管理が行き届かなくなる事態は避けたい．したがって，情報システムにおける今後のキーポイントは重要な情報の管理とID 管理，権限管理と考えられる．重要情報にアクセス可能な利用者と操作が限定されることである．そのために多様なサービス，システムを利用していく環境下にあっては，ID 管理，権限管理を統一したポリシー，ルールで実現するための仕組みが必要となる．本課題の解決は情報システム担当部署の役目であるが，CSIRT と連携してニューノーマル時代のセキュアな情報システムを構築していく必要がある．５.４. DX を見据えたリスクアセスメントとプライオリティによる意思決定５.４.１._{可用性を重視したマネジメント} コロナ禍におけるテレワークの移行は業務をどうやって継続させていくかが大きな課題となった．各組織で知恵を出しながら業務継続を進める中，テレワークの実施が効果的と判断され，継続・拡大したいと考えている組織も多い．したがって，今後も従来の業務形態に戻ることなく，テレワークを中心とした業務形態が進んでいくものと考えられる．こうした環境下においては，業務を維持，継続させるための環境整備が重視され，従来以上に可用性重視のマネジメントが求められる．バックアップ対策や BCP 策定が重要である．注意しなければならないのは，可用性のみに注意が払われ，機密性，完全性の検討が疎かになってはいけないということである．可用性確保のために機密性，完全性を犠牲にする場合も想定されるが，リスク分析をしっかりと行った上で，犠牲は許容可能な範囲に留めることである．経営層が事業リスクを把握した上で，意思決定に関与していくことが重要である．事業リスクアセスメントとプライオリティによる経営層の意思決定とそれをCSIRT が支援する体制が必要となる．５.４.２. 分散と集中のコントロールニューノーマル時代においては，テレワーク等により従業員の働く場所が分散し，クラウド利用の加速とともに情報システムも分散する．こうした分散が進む中，情報は集中して管理する必要がある．５.４.２.１. 人・場所の分散従業員が分散しているため，第一に重要なのは連絡手段の確保である．組織のラインを通じた緊急連絡体制，CSIRT への連絡体制，経営幹部へのエスカレーション体制，従業員間の連絡体制，土日・休日・深夜の連絡体制，等である．予め連絡体制，手段を決めておき，いつでもそれが参照できる形にしておく必要がある．同時に，CSIRT はチームで連携して業務を進める必要があるため，情報伝達・共有，指示，共同作業のための手段の確保も必要である．責任者に連絡がつかないケースや責任者がパンデミックに見舞われるケースも想定して，責任・権限の再分担も事前に設定しておくべきである．また，従業員がテレワークで孤立している中でも，インシデント等不測の事態に陥った場合にはリモートから支援できる環境の整備も必要である．ニューノーマル時代におけるCSIRT 活動重要なデータのバックアップ対策，情報漏洩対策である．分散した環境でリモートアクセスする従業員に関しては，攻撃情報，不審メール情報，インシデント情報等を集約して共有できる手段を確保するとともに，情報伝達手段も明確にしておく必要がある．分散された環境においてこそ，情報の集約が重要である．５ニューノーマル時代における CSIRT 活動５.１. コロナ禍において直面した CSIRT 活動の課題一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会（NCA）は，コロナ禍の緊急事態宣言下における CSIRT の対応状況について，_{NCA 加盟組織にアンケート調査を行い，その調} 査結果を公表した[17]．本調査結果では，9 割以上の組織がテレワーク対応の準備を進めていたものの，インシデントの検知と対応に関する環境整備は喫緊の課題である，と分析されている．この結果を踏まえて，インシデント検知と対応それぞれに対して，・想定される課題・解決の方向性，実現手段例・組織としての備えが検討，整理されている．考慮すべき事項が詳細かつ具体的に示されているので，是非参照されたい．５.２._{ニューノーマル時代における CSIRT 活動の留} 意点と今後の方向性本節では，これまで説明してきたコロナ禍における環境，動向の変化に対応して求められる CSIRT 活動の留意点と今後の方向性について再整理する（図１）．一部，前節でご紹介した NCA の調査結果とも重複する部分もあるが，お許しいただきたい．テレワークの急増により，VPN 等のリモートアクセスも急増し，VPN 機器等を急遽増設する必要に迫られた．IT 資産管理，脆弱性管理が不十分なため，サイバー攻撃の被害も続出した．こうしたリスクが組織内に内在していることが十分に把握できていなかった．_{Web 会議，チャットツール，オンラインス} トレージ，コラボレーションツール等，新たなアプリケーションやサービスの利用も増加しているため，こうしたサービスやソフトウェアの脆弱性についても管理が必要となる．ニューノーマル時代においては，DX の加速も進み，業務環境，ネットワーク環境は変化し続けるものと想定される．クラウド利用も促進されるであろう．今まで以上にIT 資産管理を十分に行い，管理されたIT 資産に対する脆弱性管理を徹底し，把握している脆弱性に関して，そのリスクの所在と適切な対処を行っていく必要がある．このように IT 資産管理～脆弱性管理～リスク管理が連鎖して統合管理できるとともに，その管理状況を可視化，自動化して，対処も迅速化できる仕組みが必要となる．図1 今後強化すべき CSIRT 活動の方向性５.３. ゼロトラストを見据えた ID 管理，権限管理の強化３章で説明した事業環境の変化は，ネットワークの「場所」で守る境界防御の限界を示している．エンドポイントでの防御・検知，本人認証が益々重要になってくる．また，４_{.１節で説明したとおり，パ} スワード等の認証情報の漏洩リスクにもさらされてニューノーマル時代における CSIRT 活動

(7)

５.４.２.２. システムの分散多様な働き方を支えるため，また，業務の継続と効率化を進めるため，システムは多様化し分散環境も進展している．リモートアクセスで組織内ネットワークへのアクセス集中がリソース枯渇を招くことも分散環境を進める要因になっている．分散が多いほど管理は煩雑になる．組織内の通信状況を把握するためには，モニタリングポイントが適切かどうかを再度見直し，許可された通信と許可されていない通信を判別可能か，異常検知が可能かを改めて確認する必要がある．さらに，インシデント発生時には，侵害されたエンド・エンドでの通信経路を確認することも重要である．従来のように従業員が組織内オフィスにいるとは限らず，ネットワークの経路も固定的ではない．その経路上には管理できていない機器が存在している可能性がある．５.４.２.３. 情報の集中人・場所の分散，システムの分散等により，情報も分散される傾向にある．リモートアクセス環境下では孤立する従業員が頼れるのは，手元にある端末からアクセスできるシステムと情報である．利用するシステムは用途に応じて利用者が選択すればよいが，求める情報は容易にいつでもアクセス可能な状態になっているとは限らない．したがって，分散化が進む環境においては，情報の集中化が必要である．情報が物理的に集中管理されているかどうかは問わない．ポータルサイトによって，分散配置された情報に集約してアクセスできる形態でもよい．また，チーム内，チーム間での共同作業を進めるための共有環境の整備も必要である．５.４.２.４._{ルール・手順の整備} ニューノーマル時代においても CSIRT として実施すべき業務内容に変わりはない．環境が多様化，システムが分散化する中で，同じ業務を進めるにあたり，従来のやり方では業務が進まなくなることが課題である．管理すべき対象も変化している．こうした環境が変化する中における留意点や今後の方向性は前述したとおりであるが，これらを見据えて，ルールや手順を見直し，組織内にも浸透させていくことが重要である．６まとめコロナ禍における環境，動向の変化を踏まえ，さらに，今後加速が求められるDX の推進に向けて，ニューノーマル時代における CSIRT 活動の留意点と今後の方向性について論じた．コロナ禍で世の中が経験した実態を踏まえ，課題として留意すべき事項とその課題解決のための一つの方向性を示した．これら全てを実現するのは簡単なことではない．各組織が抱える悩みも本稿で示した事項に留まらないであろう．CSIRT が経営層を支援し，情報システム担当部署とも密接に連携して，自組織内の戦略，実情に合わせてマネジメントしていくことが重要である．ニューノーマル時代に向けて，今回経験した大きな変化は今後も継続していくものと想定される．本稿で示した事項が今後のCSIRT 活動の発展，ひいては組織全体の発展に少しでも貢献できれば幸いである．参考文献 [1] 日本コンピュータセキュリティインシデント対応チーム協議会「_{CSIRTスタータキットVer 2.0」，} https://www.nca.gr.jp/imgs/CSIRTstarterkit.pd f，2011 年 8 月 [2] 一般社団法人 JPCERT コーディネーションセンター，「_{CSIRT ガイド」，}『_{CSIRT マテリアル』，} 2015 年 11 月，5 頁 [3] 厚生労働省，「テレワークを巡る現状について」，『第１回「これからのテレワークでの働き方に関する検討会」』，_{2020 年 8 月 17 日，4 頁} [4] 日本経済新聞「企業の 43%「テレワークを継続・拡大」厚労省調査」， https://www.nikkei.com/article/DGXMZO6627

(8)

日本セキュリティ・マネジメント学会誌 Vol.○○, No.○ 1500W0A111C2000000/，2020 年 11 月 [5] DIGITAL X「そのテレワークはデジタルトランスフォーメーション（DX）につながっているか【第32 回】」， https://dcross.impress.co.jp/docs/column/colum n20170918-1/001425-2.html, 2020 年 5 月 [6] 総務省「我が国のインターネットにおけるトラヒックの集計結果（2020 年 11 月分）」， https://www.soumu.go.jp/main_content/000731 585.pdf，2021 年 2 月 [7] トレンドマイクロ「－クラウド利用に関する実態調査 2021－新型コロナウイルスの感染拡大で約9 割の法人組織がクラウド利用を加速」， https://www.trendmicro.com/ja_jp/about/press-release/2021/pr-20210120-01.html，2021 年 1 月 [8] トレンドマイクロ，「2021 年セキュリティ脅威予測」，『TRENDMICRO|research』，2020 年12 月，4-6 頁 [9] NTT テクノクロス「ゼロトラストとは？～ゼロトラストネットを実現するために」， https://www.trustshelter.jp/column/2019-03-11 /，2020 年 3 月 [10] 日経新聞「テレワーク、VPN 暗証番号流出国内38 社に不正接続」， https://www.nikkei.com/article/DGXMZO6299 4110U0A820C2MM8000/，2020 年 8 月 [11] YAHOO!ニュース「Fortinet 製 SSL-VPN の脆弱性にパッチ未適用のリスト約5 万件が公開される。日本企業も含む。」， https://news.yahoo.co.jp/byline/ohmototakashi/ 20201124-00209286/，2020 年 11 月 [12] NTT コミュニケーションズ「当社への不正アクセスによる情報流出の可能性について(第 2 報)」， https://www.ntt.com/about-us/press-releases/n ews/article/2020/0702.html，2020 年 7 月 [13] JPCERT/CC「複数の SSL VPN 製品の脆弱性に関する注意喚起」， https://www.jpcert.or.jp/at/2019/at190033.html， 2020 年 9 月 [14] IPA「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」， https://www.ipa.go.jp/security/announce/2020 -ransom.html，2020 年 8 月 [15] 警察庁「令和 2 年におけるサイバー空間をめぐる脅威の情勢等について」， https://www.npa.go.jp/publications/statistics/ cybersecurity/data/R02_cyber_jousei.pdf， 2021 年 3 月 [16] トレンドマイクロ，「ランサムウェアの新たな戦略「遠隔侵入」と「情報暴露」 2020 年上期セキュリティラウンドアップ」，『TRENDMICRO|research』，2020 年 8 月， 20-27,33 頁 [17] 一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会CSIRT 評価モデル検討ワーキンググループ，「新型ウイルス感染リスク禍におけるCSIRT 活動で考慮すべきこと -CSIRT 対応プラクティス集(ver.1.0)-」， https://www.nca.gr.jp/activity/imgs/CSIRTcor respondence practice collection-ver.1.0.pdf， 2020 年 9 月（受付日：200○年○月○日）著者略歴星敬一（ほし・けいいち） 1985 年，慶應義塾大学理工学部管理工学科卒業． 1987 年，慶應義塾大学大学院理工学研究科修了． 1987 年～2012 年，日本電信電話（株）研究所にて，通信網設計，次世代 IP-VPN，情報セキュリティの研究開発に従事．2012 年～2014 年，（株）NTT データ技術開発本部にて先進技術開発に従事．2014 年～現在，NTT テクノクロス（株）にて，セキュリティビジネス，CSIRT 業務に従事．ニューノーマル時代におけるCSIRT 活動５.４.２.２. システムの分散多様な働き方を支えるため，また，業務の継続と効率化を進めるため，システムは多様化し分散環境も進展している．リモートアクセスで組織内ネットワークへのアクセス集中がリソース枯渇を招くことも分散環境を進める要因になっている．分散が多いほど管理は煩雑になる．組織内の通信状況を把握するためには，モニタリングポイントが適切かどうかを再度見直し，許可された通信と許可されていない通信を判別可能か，異常検知が可能かを改めて確認する必要がある．さらに，インシデント発生時には，侵害されたエンド・エンドでの通信経路を確認することも重要である．従来のように従業員が組織内オフィスにいるとは限らず，ネットワークの経路も固定的ではない．その経路上には管理できていない機器が存在している可能性がある．５.４.２.３. 情報の集中人・場所の分散，システムの分散等により，情報も分散される傾向にある．リモートアクセス環境下では孤立する従業員が頼れるのは，手元にある端末からアクセスできるシステムと情報である．利用するシステムは用途に応じて利用者が選択すればよいが，求める情報は容易にいつでもアクセス可能な状態になっているとは限らない．したがって，分散化が進む環境においては，情報の集中化が必要である．情報が物理的に集中管理されているかどうかは問わない．ポータルサイトによって，分散配置された情報に集約してアクセスできる形態でもよい．また，チーム内，チーム間での共同作業を進めるための共有環境の整備も必要である．５.４.２.４._{ルール・手順の整備} ニューノーマル時代においても CSIRT として実施すべき業務内容に変わりはない．環境が多様化，システムが分散化する中で，同じ業務を進めるにあたり，従来のやり方では業務が進まなくなることが課題である．管理すべき対象も変化している．こうした環境が変化する中における留意点や今後の方向性は前述したとおりであるが，これらを見据えて，ルールや手順を見直し，組織内にも浸透させていくことが重要である．６まとめコロナ禍における環境，動向の変化を踏まえ，さらに，今後加速が求められるDX の推進に向けて，ニューノーマル時代における CSIRT 活動の留意点と今後の方向性について論じた．コロナ禍で世の中が経験した実態を踏まえ，課題として留意すべき事項とその課題解決のための一つの方向性を示した．これら全てを実現するのは簡単なことではない．各組織が抱える悩みも本稿で示した事項に留まらないであろう．CSIRT が経営層を支援し，情報システム担当部署とも密接に連携して，自組織内の戦略，実情に合わせてマネジメントしていくことが重要である．ニューノーマル時代に向けて，今回経験した大きな変化は今後も継続していくものと想定される．本稿で示した事項が今後のCSIRT 活動の発展，ひいては組織全体の発展に少しでも貢献できれば幸いである．参考文献 [1] 日本コンピュータセキュリティインシデント対応チーム協議会「_{CSIRTスタータキットVer 2.0」，} https://www.nca.gr.jp/imgs/CSIRTstarterkit.pd f，2011 年 8 月 [2] 一般社団法人 JPCERT コーディネーションセンター，「CSIRT ガイド」，『CSIRT マテリアル』， 2015 年 11 月，5 頁 [3] 厚生労働省，「テレワークを巡る現状について」，『第１回「これからのテレワークでの働き方に関する検討会」』，2020 年 8 月 17 日，4 頁 [4] 日本経済新聞「企業の 43%「テレワークを継続・拡大」厚労省調査」， https://www.nikkei.com/article/DGXMZO6627 ニューノーマル時代における CSIRT 活動