ENTRY
プロジェクトメンバーの写真

サイバー攻撃に向き合いお客様を守る、最先端のセキュリティ組織「CSIRT」

CSIRT+SOC運用プロジェクト

プロジェクト背景

大手商社およびそのグループ会社で発生するセキュリティに関する問題を解決するため、セキュリティインシデントの調査・分析を行う。同時にお客様が安心して業務に取り組めるよう、脆弱性情報の収集・発信や脅威情報のキャッチアップと防御も実施。日々高度化するサイバー攻撃に向き合い、SOCベンダーと連携して運用を図りながらインシデント対応のクオリティアップに努めている。

PROJECT MEMBER
  • 谷口健輔の顔写真

    谷口 健輔

    セキュリティ

    2016年新卒入社。インフラエンジニアを経て、セキュリティ領域へキャリアシフト。現在は情報システム会社に対するCSIRTの運用業務に従事。

  • 新里幸剛の顔写真

    新里 幸剛

    セキュリティ

    2018年入社。通信事業会社内のSOC運用業務で不正アクセス監視や脆弱性対策を経験。現在はSOC運用業務の改善活動、業務効率化業務を行う。

顧客からの依頼に基づくセキュリティの調査とよりスムーズな運用へのサポート

私たちのプロジェクトでは、日々お客様から寄せられるセキュリティに関する問題や問い合わせに対しての調査・分析をしています。また、セキュリティに関する脆弱性情報や脅威情報、社会的なセキュリティ情勢に関する情報を積極的に収集するため、運用の課題を探しつつ改善を図っています。主にお客様からの問い合わせや問題に対応しつつ、より良い方法で日々の運用ができるようメンバーと話し合いを重ねています。プロジェクトの目標は、発生するセキュリティインシデントに対し先頭に立って解決をすること。そして、セキュリティ組織としてお客様から信頼される立場を築くことです。そのためにも満足していただける対応ができているかを意識しつつ業務を遂行しています。

CSIRT業務をモデルとした業務設計でセキュリティに関する問題を解決

2021年6月~8月末までお客様の商社グループで行っているCSIRT業務をモデルとして業務設計を行い、9月より運用を実施しました。CERT業務では、インシデント対応、脆弱性管理、不審メール窓口、脅威情報対応、スレットハンティング、公開情報の収集・確認、月次報告対応、その他の8つの業務を実施しています。 インシデント対応では、2021年11月と3月にEmotetのインシデント対応を実施。11月に発生したものは、世界的にも早期のものだったようでいくつか想定外のことがありましたが、EDRとしてCarbon Blackが入っている環境でした。この案件で初めて使用したツールでしたが非常によくできており、調査がしやすく助かりました。 その他の業務では、SSLのバージョンで古いものを使用していないか外部からチェックしたり、S/Wのインストーラをお客様にて作成していたものを確認し権限昇格ツールとして悪用可能であることを指摘したり、ベンダーが導入したシステムのランサムウェアに攻撃された場合にバックアップデータでどこまで復旧できるかを確認し不十分な部分の指摘をしたりといった、公開サーバの脆弱性の確認をしています。

プロジェクトメンバーの写真

プロジェクトメンバーの写真

プロジェクトメンバーの写真

問題をスピーディに解決するため、運用方法・手順を構築し仕組みから変えた

プロジェクトには、高度化するサイバー攻撃によりセキュリティインシデントへどのように対応していくか、お客様が抱える問題にスピード感を持って的確に解決することができるか、日々公表される脆弱性情報、脅威情報をいち早くキャッチアップし対応することができるか、といった課題がありました。これに対し、近年増加するフィッシングメールなどに対して受領したユーザーが悪性URLへアクセスしたかどうかをリアルタイムで監視できるようにするため、実際の運用方法・手順などを構築し、攻撃者からの情報窃取に即時対応できる仕組みをつくりました。 ほかにも、構成管理ができていないために脆弱性への対応が十分にできているのか判断が難しいという問題や、公開サーバであるコーポレートサイトが古く、多くの脆弱性があるが更改がなかなか進まないという課題もあります。こちらには、CERTの課題管理表へ記入し顧客へ報告したり、社内の情報をかき集めたり構築ベンダーへヒアリングするなど活用できるものを利用して対応しています。

CSIRTは今後、規模を問わずすべての組織で求められる

最初は分からないことだらけ。特に初めてセキュリティインシデントの対応を任されたときはどう対応したらいいか分からず苦労しました。まずは自分で調べられる情報調査やユーザーヒアリングを行い、とにかく情報を集めました。その上でメンバーの先輩社員やお客様と相談し、情報を整理することで、ゴールが見えてきました。また、リアルタイムでサイバー犯罪に向き合うため、社会的、経済的な知識が深まるだけでなく、視野も広がったと思います。 サイバー犯罪は日々進化し続けており、今後も増えていく一方だと考えられており、組織に信頼できるセキュリティ組織がある事が、企業が安心して業務に取り組む上で非常に重要になります。そのため、CSIRTと呼ばれるセキュリティ組織は、規模の大小に関わらず全ての企業に必要になり、今後増えていく事が想定されます。また、今後は運用面において自動化のニーズが更に高まっていくのではないでしょうか。変化をキャッチアップし、進化し続けるチームでありたいですね。

プロジェクトメンバーの写真

プロジェクト一覧を見る