PROJECT

STORY

04

People Interview

セキュリティ組織 CSIRT

×

新たな運用構築

で、まだ見ぬ答えに挑む!

PROJECT
MEMBER

プロジェクトメンバー
プロフィール写真

セキュリティ

Kensuke.Y

2016年新卒入社。インフラエンジニアを経て、セキュリティ領域へキャリアシフト。現在は情報システム会社に対するCSIRTの運用業務に従事。
プロフィール写真

セキュリティ

Yukitaka.S

2018年入社。通信事業会社内のSOC運用業務で不正アクセス監視や脆弱性対策を経験。現在はSOC運用業務の改善活動、業務効率化業務を行う。

OUTLINE

概要

CSIRT(シーサート)は、大手商社およびそのグループ会社で発生するセキュリティに関する問題を解決するため、セキュリティインシデントの調査・分析を行う。同時にお客様が安心して業務に取り組めるよう、脆弱性情報の収集・発信や脅威情報のキャッチアップと防御も実施。日々、高度化するサイバー攻撃に向き合い、SOCベンダーと連携して運用を図りながらインシデント対応のクオリティアップに努めている。

※SOC:CSIRTはインシデントが発生した際に対処するチームであり、SOCはインシデントが発生していないか監視や検知を行う業務を主とする

    • 01

      セキュリティ組織 CSIRT×新たな運用構築

      100%防ぐことが難しいサイバー犯罪。だからこそ、CSIRTは重要な存在。

      サイバー犯罪が急増する昨今、企業は「セキュリティ」の課題に向き合わざるを得ない情勢にあります。サイバー犯罪の攻撃手法や手口は日々進化し続けており、万全の対策を取っておかなければ、企業として社会的信用を失う事態になりかねません。
      サイバー犯罪は日常的に企業に対し実行されています。セキュリティを担う私たちは、インシデントの発生を未然に防ぐべく、リアルタイムでの調査・分析を行うことに加え、インシデント発生時には的確に対処し、お客様に安心して業務を遂行いただける環境を提供することが重要です。そのためにCSIRTでは万全な組織体制を構築し、日々サイバー犯罪と向き合っています。

    • インタビュー画像
    • 02

      プロジェクト発足の経緯

      顧客からの依頼に基づくセキュリティの調査と、よりスムーズな運用へのサポート。

      私たちのプロジェクトでは、日々お客様から寄せられるセキュリティに関する問題や問い合わせに対しての調査・分析をしています。また、セキュリティに関する脆弱性情報や脅威情報、社会的なセキュリティ情勢に関する情報を積極的に収集するため、運用の課題を探しつつ改善を図っています。
      主にお客様からの問い合わせや問題に対応しつつ、より良い方法で日々の運用ができるようメンバーと話し合いを重ねていますが、プロジェクトの目標は「発生するセキュリティインシデントに対し先頭に立って解決をすること」。そして、「セキュリティ組織としてお客様から信頼される立場を築くこと」です。そのためにも、満足していただける対応ができているかを意識しつつ業務を遂行しています。

    • 03

      プロジェクトの提供価値

      CSIRT業務をモデルとした業務設計で、セキュリティに関する問題を解決。

      2021年6月~8月末まで、お客様の商社グループで行っているCSIRT業務をモデルとして業務設計を行い、9月より運用を実施しました。CERT業務では、①インシデント対応、②脆弱性管理、③不審メール窓口、④脅威情報対応、⑤スレットハンティング、⑥公開情報の収集・確認、⑦月次報告対応、その他の8つの業務を実施しています。
      ①インシデント対応では、2021年11月と3月にEmotetのインシデント対応を実施。11月に発生したものは、世界的にも早期のものだったようで、いくつか想定外のことがありましたが、EDRとしてCarbon Blackが入っている環境でした。この案件で初めて使用したツールでしたが非常によくできており、調査がしやすく助かりました。
      その他の業務では、SSLのバージョンで古いものを使用していないか外部からチェックしたり、S/Wのインストーラをお客様にて作成していたものを確認し権限昇格ツールとして悪用可能であることを指摘したり、ベンダーが導入したシステムのランサムウェアに攻撃された場合にバックアップデータでどこまで復旧できるかを確認し、不十分な部分の指摘をしたりといった、公開サーバの脆弱性の確認をしています。

    • インタビュー画像
    • 04

      プロジェクトの挑戦点

      問題をスピーディに解決するため、運用方法・手順を構築し、仕組みから変えた。

      プロジェクトには、「高度化するサイバー攻撃によりセキュリティインシデントへどのように対応していくか」、「お客様が抱える問題にスピード感を持って的確に解決することができるか」、「日々公表される脆弱性情報、脅威情報をいち早くキャッチアップし対応することができるか」といった課題がありました。これらに対し、近年増加するフィッシングメールなどに対して受領したユーザーが、悪性URLへアクセスしたかどうかをリアルタイムで監視できるようにするため、実際の運用方法・手順などを構築し、攻撃者からの情報窃取に即時対応できる仕組みをつくりました。
      ほかにも、構成管理ができていないために脆弱性への対応が十分にできているのか判断が難しいという問題や、公開サーバであるコーポレートサイトが古く、多くの脆弱性があるが更改がなかなか進まないという課題もあります。こちらには、CERTの課題管理表へ記入し顧客へ報告したり、社内の情報をかき集めたり構築ベンダーへヒアリングするなど活用できるものを利用して対応しています。

    • 05

      プロジェクトの展望

      CSIRTは今後、規模を問わず、すべての組織で求められる。

      最初は分からないことだらけでした。特に、初めてセキュリティインシデントの対応を任されたときは、どう対応したらいいか分からず大変苦労しました。まずは自分で調べられる情報調査やユーザーヒアリングを行い、とにかく情報を集めました。その上で、メンバーの先輩社員やお客様と相談し、情報を整理することで、ゴールが見えてきました。また、リアルタイムでサイバー犯罪に向き合うため、社会的・経済的な知識が深まるだけでなく、視野も広がったと思います。
      サイバー犯罪は日々進化し続けており、今後も増えていく一方だと考えられており、組織に信頼できるセキュリティ組織がある事が、企業が安心して業務に取り組む上で非常に重要になります。そのため、CSIRTと呼ばれるセキュリティ組織は、規模の大小に関わらず全ての企業に必要になり、今後増えていく事が想定されます。また、今後は運用面において自動化のニーズが更に高まっていくのではないでしょうか。変化をキャッチアップし、進化し続けるチームでありたいですね。

    • インタビュー画像

2025・2026
ENTRY