企業のセキュリティチームを育成する“インシデントレスポンスサービス”、EMCジャパンが開始

　EMCジャパン株式会社は21日、企業のセキュリティチーム向けに、サイバーセキュリティ攻撃に対応するノウハウや知見を提供し、育成を支援する「インシデントレスポンスサービス（IRサービス）」の提供を開始した。料金は個別見積もりで、年単位のサブスクリプションとなる。

　IRそのものの現状について、同社RSA事業本部マーケティング部部長の水村明博氏は、「IRという言葉自体がより身近になり、経営層も注目せざるを得なくなってきた」と述べた。経営者は、CISO（Chief Information Security Officer）の任命をはじめ、サイバーセキュリティの管理体制を構築する必要があり、さらにセキュリティポリシーや実施計画の承認を行う必要がある。また、「管理体制の維持や効率化、サイバーセキュリティ対策の現状把握、問題点の改善なども経営層の仕事」と言える。

　しかしながら、こうした情報をそもそも把握していない経営者や、把握はしていても体制を構築できていない企業もまだ多く存在している。水村氏は、「経理や財務では、CFOを任命してポリシーや予算計画を承認することは当たり前のこと。それの情報セキュリティ版と考えてほしい」とした。

　セキュリティインシデントの発生時には、経営層が適切な判断を行う材料として、原因や被害、影響範囲といった情報をサイバーセキュリティの専門家ではない経営層が理解可能な言葉で説明する技術が求められる。こうした対策ができるセキュリティチームが企業には必要だが、「2015年の日本年金機構の情報漏えい事案で使われた予算がつい先日発表されたように、外部ベンダーなどでは時間がかかる」上に、「サイバーセキュリティ脅威に迅速に対応するには、ログやパケットなど多くの情報が必要で、社外への情報流出懸念もある」とし、「スポットサービスだと、そのたびに毎回契約して金額を決めるなど、実作業にかかるまでの時間も必要になる」と説明。企業内にセキュリティチームを設置するメリットを述べた。

　しかし、日本国内におけるサイバーセキュリティ技術者の不足が叫ばれており、経済産業省が2015年3月に発行した報告書「情報セキュリティ分野の人材ニーズについて」によれば、サイバーセキュリティ事案が増加を続ける一方、そうした人材が国内では企業に就業する人材は約25％弱しかおらず、米国の7割と比較して非常に低い数字となっているのが現状だ。また、「人材流動も激しく、サイバー世界は日進月歩なため、技術を追いかけられる人材を継続的に確保することが難しい」という。

　こうした背景の上で、IRサービスを提供することについて水村氏は、「IRサービスを肩代わりするのではなく、企業内のセキュリティチームを実践的に育成することが第一の目的」と述べ、「結果を渡されただけでは、中の人は育たない。アナリストと一緒に問題の切り分けからやっていくところが、ほかのサービスとの大きな違いになる」とした。サービスの構成内容は、現状把握と改善提案、運用開始後の技術支援、製品運用に分かれ、主に4つのサービスから構成される。

　現状把握と改善提案を目的とする「インシデントディスカバリー」は、顧客企業サイトに標的型サイバー攻撃対策スイート「RSA NetWitness Suite」を設置し、ログやパケットを収集。脅威を分析した30ページ程度のレポートを5週間程度で提供するもの。「ネットワーク内のどこに機器を設置すれば全体を可視化できるか、どのようにログを集積し、どう情報を分析するか。危険度の高いインシデントの優先順位の付け方についてもレポーティングして、ユーザー企業の担当者に解説する」という。

　運用開始後の技術支援を行う「インシデントホットライン」は、インシデントやその兆候が起きたときなどに、電話やメールで対応を受け付けるサービス。RSA NetWitness Suiteが設置されている企業にはリモートでの対応も行うが、未導入の企業や他社製品を利用している企業にもサービスを提供する。「何か起きたときに、顧客企業のログやパケット情報を元に、EMCジャパンのアナリストがマルウェア情報、迫ってくる脅威、情報漏えい事案の内容などを調査して、対応を指南する」ものとなる。「実際の契約時には事前ミーティングを行うため、ネットワーク構成を把握している状態でスタートする。初期対応は電話などで行い、必要であればオンサイト実施に移行する」という。

　製品運用を提供する「IRジャンプスタート」は、設置されているRSA NetWitness Suiteに対し、ログやパケットの調査方法や運用の仕方、ルールやコンフィギュレーションなど初期の運用設定などのサービスを提供する。これについて水村氏は「単純にインシデントレスポンスを提供するのではなく、運用のノウハウを企業のセキュリティチームに取り込んでもらうもの」と位置付けているとした。

　IRアドバイザリもRSA NetWitness Suiteを利用する顧客企業向けサービス。全体的なネットワーク分析を定期的に実施し、年4回のレポートを提出する。「機器の使い方が正しいか、脅威をの兆候を見逃しているか、ほかに発見する方法がないのかを定期的に相談に来る顧客企業がいる。こうしたニーズに応える分析手法や結果の報告方法を提供することで、企業のセキュリティチーム育成につなげたい」とのことだ。

　なお、表内にあるレジデンシーサービスは、RSA NetWitness Suiteの運用や保守をリモートやオンサイトで実施するもので、従来から提供しているサービスとなる。RSA NetWitness Suiteは、マルウェア対策を行う「RSA NetWitness Endpoint」と、脅威情報や各種ログ、全ネットワークパケットを収集・分析して、サイバー攻撃の早期検知や脅威の可視化を行う「RSA NetWitness Logs」「RSA NetWitness Packets」、RSA NetWitnessから送られるアラートの集中管理とインシデント対応のワークフローを自動化し、効率的なSOC運営を支援する「RSA NetWintess SecOps Manager」で構成される。

　EMCジャパンでは2015年11月よりCSIRT（Computer Security Incident Response Team）の構築と運用を支援するサービスである「RSA Advanced Cyber Defense（ACD）」を提供しているが、今回提供するIRサービスについて、同社RSA事業本部システムズ・エンジニアリング部部長の八束啓文氏は、「ACDは組織を作っていくコンサルティングサービスとの位置付けが大きかったが、IRサービスはACDの全体の中でサブセットとしてより実践的なものとして位置付けられる」と述べた。