警備資料

アクセスカウンタ

zoom RSS セキュリティ人材がいないなんて大ウソ? ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法

<<   作成日時 : 2018/04/25 21:11   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

 情報漏えいや不正アクセス、ランサムウェア感染といったセキュリティインシデントが相次いで発生していることを背景に、CSIRTの構築に取り組む企業や組織が増えている。

ANAグループのCSIRT「ASY-CSIRT」を率いる阿部恭一氏

 CSIRTの主な役割は、平時はセキュリティインシデントが起こらないようさまざまな対策や情報収集に努め、万一、事故が発生した有事には初期対応に当たることだ。ただ、CSIRTの活動には定義があるわけではなく、これまで構築してきたセキュリティ運用体制や組織、業務プロセスに応じて、それぞれの企業や組織なりの最適な姿を模索しているのが大半ではないだろうか。

 そんな「CSIRTブーム」が起こる前から、全日本空輸(ANA)グループのCSIRT、「ASY-CSIRT」では、CSIRTで果たすべき役割の定義や人材育成を同時に進めながら、徐々に現在の形を作り上げてきた。現在、十数名の社員を中心に、必要に応じて情報システム部門と連携しながら対応している。

 ANAグループは以前から、全社的なリスク管理の一貫としてセキュリティ対策に取り組んでおり、ASY-CSIRTを中核に約40社に上るグループ企業も含めた対策を推進している。

 ASY-CSIRTを率いるANAシステムズの阿部恭一氏(品質・セキュリティ監理室 エグゼクティブマネージャ ANAグループ情報セキュリティセンター ASY-CSIRT)は、「物理的なセキュリティや警備を除いて、セキュリティに関することは全部やっています」と話す。

 セキュリティ分野の人材不足が叫ばれる中、ASY-CSIRTでは、どのように増え続けるセキュリティニーズに対応し、人材のやりくりをしているのか。阿部氏に話を聞いた。

●少ないリソースで法令順守から詐欺対策まで手掛けるための工夫

 一般的なCSIRTというと、インシデントレスポンスを中心に、情報セキュリティに関連するサービスを提供するチームというイメージが強いが、ASY-CSIRTのサービス範囲は実に幅広い。

 1つ目は法令対応だ。改正個人情報保護法やGDPR(General Data Protection Regulation:EU一般データ保護規則)をはじめとするさまざまな法令に関連して、「規約やポリシー、ガイドラインをどのように変更し、どのようにシステムを作らなければならないかを検討し、対応しています。このように法律対応も詳しくやっていることに特徴があります」と阿部氏は言う。

 2つ目の領域は、詐欺・不正行為の対策だ。ANAのマイレージクラブでは、金銭に準じた価値を持つ「マイレージ」を扱っており、それを狙った詐欺や不正利用が後を絶たないという。「CSIRTの領域というよりもクレジットカード詐欺対策に近い部分ですが、ANAとして事業を展開している以上、不正利用する輩をどう捕まえ、防止するかも考えていかなければいけません」(阿部氏)

 しかも近年、マイレージは、クレジットカードや他の交通機関、オンラインショッピングなどさまざまな業界のポイントと連携し、交換できるようになっている。このため「単独の会社ではなく、複数の業者と提携して捕まえていかなくてはいけません。そこで2016年から、警察やJC3(Japan Cybercrime Control Center:日本サイバー犯罪対策センター)をハブにして関連する事業者が集まり、情報交換しながら、不正利用を未然に防ぐ取り組みを進めています」という。

 そんなふうにして対応領域を広げてきたASY-CSIRTだが、人が無限にいるわけではなく、そもそもサイバー攻撃に関しては、年々手口が巧妙化している。

 「セキュリティ機器を導入しても、3年も経てば攻撃側もそれを乗り越える手段を作ってくるため、常々新しいものに入れ替えていかなければならず、非常に『カネのかかる話』なのも事実。民間企業にとってこれは非常に厳しい話です」(阿部氏)

 そこでANAでは、何か新しいソリューションやシステムを検討する際には、「今あるものと、足し引きでゼロにするように考えています」(阿部氏)という。

 CSIRTの業務の中で、「何をオンプレミスで自力でやるのか、それともアウトソーシングしたり自動化するか」を見極めた上で、限られた人数でやりくりし、新たなジャンルに担当を割り振ることもできるそうだ。一例として、DDoS対策やスクレイピング対策としてCDNサービスを全面的に導入し、ANAのシステムに到達する前にCDN側ではじく仕組みを採用したという。

●「ASY-CSIRTは味方」と思ってもらうために

 ASY-CSIRTは、主に4つのチームに分かれて活動している。1つはインシデント対応。2つ目は各方面との連絡や法令対応に当たるグループだ。さらに、各国を回ってセキュリティアセスメントや教育を行うグループと、システム構築時にガイドラインに沿っているか適合確認を行うグループがある。

 4つ目の適合確認は、会社によっては品質管理やテスト部門が行っているケースもあるだろう。ANAグループの場合は「私たちはシステムを作っている会社でもあります。ANA Sky Webのように日本でも有数の利用者があるサイトもあり、ちょっとでも穴があってはいけません」(阿部氏)という考え方から、ASY-CSIRTとして各サイトやサービスが満たすべきガイドラインを策定し、各プロジェクトがそれを守って開発しているかを確認している。

 開発プロジェクトの流れの中で、最低でも3回はガイドラインの適合確認を行うそうだ。まずは計画時で、RFPを提示する際に非機能要件としてどんな事柄を書かなければいけないかを確認する。次に、開発計画書を作成した段階で、セキュリティに関する要求事項が全て盛り込まれているかを確認する。三度目はシステムテストの前の段階だ。

 「世の中、システム開発ってそんなに順調にいくものではありませんよね。コストが超過したり、スケジュールが延びたり、でも稼働日は動かせないといったジレンマの中で開発をしているわけですが、その中でセキュリティの要求事項が削られていないか、『いやぁ、お金がなくなったんで、ここ削りました』ってことがないかを確認しています」(阿部氏)

 最後に稼働前の脆弱(ぜいじゃく)性診断を実施し、余計な作業ファイルやアカウントが残ってないかといった事柄も含め最終チェックを行う。これを、全てのプロジェクトについて実施しているそうだ。

 その際に大切にしているのは、決して現場と敵対関係に陥らないことだ。「やっていると必ず、『こういうわけでガイドラインを守れません』といった話が出てきます。そのときに上から目線で『守ってください』で終わるのではなく、代替案を出せるか、それがわれわれの実力だと思っています。それができれば、『ASY-CSIRTは自分たちの味方なんだ』と思ってもらえます」(阿部氏)

 もし、上からガイドラインを押し付けてしまうと、「削っちゃった項目があるけれど、言わないでおこう」と隠すケースが出てくる恐れがある。「隠蔽(いんぺい)は、発覚したときに大火事になるんですよ。一般のCSIRTはボヤは消せますが、大火事は消せません。そんな大火事になる種を仕込ませないために、現場の人と仲間になり、信頼関係を築いて『私たちは味方です』と思ってもらうことがポイントですね。だから、現場から来た相談は絶対に断りません」(阿部氏)

 グループ全体で4万人もの従業員がいると、ボヤは日常茶飯事だが、ボヤをボヤのうちに消し止めることで大きな事故を防いでいるという。またセキュリティ監視によって、日頃からどのくらい不審なメールが届き、ブロックしているかを数字で把握することで、セキュリティルールの必要性を納得してもらう材料にもしているそうだ。

 一例が、国内で2017年から急増したマクロ付きの不審なメールだ。ANAグループでも、月に6万件ものマクロ付きメールが送られてきていることが分かったため、拡張子に基づいてフィルタリングすることにしたという。中には「業務でどうしてもマクロ付きファイルをやりとりする必要がある」という意見もあったが、月間6万件という数と、標的型攻撃メール訓練で得られた開封率の数値を示しながらリスクを理解してもらい、同意を得た。もちろん同時に、代替策を提示することも忘れなかったという。その策は……ここでは伏せておこう。

●訓練を通じてCSIRTの「パス回し」をスムーズに

 ASY-CSIRTが回り出してから数年経つが、「やはり、人材育成をどうするか、次世代をどう作っていくかは、どの会社にとっても大きなテーマだと思っています」(阿部氏)

 優秀な人材は、往々にして突然変異的に勝手に育った場合が多く、「同じような人を育成できるかというと難しい」と阿部氏。ただ、会社としてはそれでは困るので、阿部氏らが日本シーサート協議会(NCA)のワーキンググループで取り組んでいるのが「CSIRT人材の定義と確保」だ。「1人でできないならチームワークでやろう。同じキャラクターは作れなくても、同じようなミッションをこなす人を組み合わせて実現しよう」というものだ。

 次の課題は、どうやってチームワークを錬成するかだが、阿部氏の答えは「訓練」に尽きるという。ASY-CSIRTではシナリオを作り、ファシリテーターを立てて繰り返し訓練を実施してきた。訓練を通じて本来の役割での動き方を確認するだけでなく、誰かが休んだときにレジリエンスを確保する目的で、本職以外の役割も割り当てて訓練してきたという。

 すると、意外でポジティブな副作用が生まれてきた。自分のカウンターパートとして対面する相手の立場を経験することで、自分はどんなアウトプットを出さなければならないか、どういう伝え方をすべきかが分かったという。

 「逆の立場に立つと、『お前の言っていることは分からないよ』『こういうふうに言ってくれないと、オレは動けないよ』ということが分かります。マルチな経験をすることで、自分が元の役割でどんな振る舞いをすべきかが分かるんですね。サッカーで言うと、普段球出しをしていて『何で球を取りにいかないんだよ』と思っている人が、フォワードになってみると『ここにパスが欲しい』っていうのが分かるようなものです。CSRITのパス回しってサッカーのパス回しと同じ。そのパス回しをどれだけ無駄なくできるようにするかが訓練の目的です」(阿部氏)

●「人材不足」は大ウソ? 情シスは貴重な候補生

 さらに、訓練を繰り返していくと、自社のCSIRTのプロセスの中で「うまくいっている部分」と「時間がかかる部分」が見えてくる。自然と、そこに装置を入れて自動化しようというニーズが内発的に生まれてくる。ベンダーから言われるがままに機器を導入するのとは正反対の姿だ。

 「実はこれって、“システム開発のありよう”と何一つ変わるところはありません。業務を熟知している人間が、現状をこんなふうに変えたいと考え、ベンダーに提案を募るのがシステム開発です。CSIRTはそこまで熟練していないため、ニーズが出せないだけ。だから、日本のセキュリティ人材がいないっていうのは大ウソだと思うんです」(阿部氏)

 もちろん、脆弱性診断やフォレンジック、専門的なセキュリティ監視といった特殊技術を持った人材も必要だ。だが、それが20数万人必要というわけではなく、アウトソーシングサービスで活用すればいい。コアな部分を担う人材に求められるのは、システム開発や運用に携わる人のスキルと何一つ変わらないという。

 阿部氏自身、ANA入社以来システム開発畑を歩んできた経歴の持ち主だ。AIやCRMを活用したマーケティング、ビッグデータ解析など何かと新分野に携わり、2004年の個人情報保護法施行を機にセキュリティの世界に入った経験から、ポテンシャルがある人材が社内に眠っているだろうことを確信できるという。

 「ITシステムの開発や企画、運用を経験している人材はとても大事。特に、運用での修羅場はとても貴重な経験で、インシデントハンドリングでもすぐに使えます。日本は運用技術が高いんですから、社内を見回せば候補生は山ほどいるはずです」

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
セキュリティ人材がいないなんて大ウソ? ANAグループのCSIRT番長、阿部恭一氏の人材発掘、育成法 警備資料/BIGLOBEウェブリブログ
文字サイズ:       閉じる