記録は歴史となり、やがて教科書となる「CSIRT MT」

CSIRT人材育成の基盤作り

組織におけるセキュリティ事故対応チームとしてCSIRTが多くの組織で作られ活動されており、CSIRTという用語もまあまあ知られるようにはなってきました。

そうした中で、実際のセキュリティ事故対応においては「事故対応の記録」は実際の現場での対応とともに非常に重要なものとして位置付けられています。

今回は、その「事故対応の記録」に関して、私が考えていることも含めて書いてみたいと思います。

「CSIRT MT」という「記録庫」

さて、いきなり宣伝で申し訳ありませんが、弊社では「CSIRT MT」という道具を扱っております。私自身もこのCSIRT MTには少し関わっております。で、私自身はこのCSIRT MTをセキュリティ事故対応の「記録庫」として使ってほしいと思っています。

CSIRT MTは発生したセキュリティインシデントが、現在どのようなフェーズなのか、それまでの状況、対応の履歴などを一元的に保存し、閲覧できるような道具として作られています。

理想的には、情報セキュリティインシデントが発生した場合に、即座に当該インシデントのチケットが発行され、状況や対応などがこの道具に保管され、リアルタイムでインシデントの状況の関係者への共有と管理ができる、といきたいところなのですが、そうそう上手くいくものでもありません。実際、インシデントが発生したらその現場対応に奔走し、リアルタイムに記録を道具に保管するというのは大変です。

そのため、インシデント発生時に「記録係」を専任で選定するCSIRTも多くありますが、記録係がいたとしても、対応している現場から情報が上がってこない限り、記録はできません。そのため、CSIRT MTという道具は「現場から情報をCSIRT MTに上げやすくする」ことを意識して作られています。とはいえ、結局現場の人が上げないと道具として、リアルタイムには使いこなせないことになってしまいます。

しかし、CSIRT MTという道具はリアルタイムではなくて後付けであっても、情報をそこにいれることにより、対応の情報をそこで分類して保管できる=記録庫とする、ということに意味があります。一つは、対応完了後に報告書を作成する「元ネタ」がCSIRT MT上に全て整理されて保管されているということであり、報告書作成の手間は結構省けると考えています。

そして、「記録庫」の意味として私が重要と考えているのは、CSIRT人材の教育なのです。

CSIRT人材の育成は難しい

さて、CSIRT人材の教育ははっきり言うと「難しい」です。では、なぜ難しいのでしょうか?理由はいろいろあると思うのですが、一つの要因として考えられるのは「実戦での教育が成り立ちにくい」という点なのです。

人材を育成するには、一部の天才を除いては「知識をつける」、「実技をする」、「実戦で使ってみる」という段階が必要だと考えています。CSIRT人材の育成にしても「知識をつける」、「実技をする」、という部分についてはなんとかなると思うのです。そういった教育コースや書籍を買ったり、グループアクティビティの研修、疑似環境でやらせてくれる講習や、コンテスト等への参加といった形でできたりします。

ところが、「実戦で使ってみる」という形での育成は難しい場合があります。なぜなら、セキュリティインシデント・事故が発生している現場においては「失敗すること」が非常に許容されにくいからなのです。というのは、セキュリティ事故が発生した場合には、「速やかに収束」させることが重要であり、そこで失敗することは、場合によっては組織に大きな被害を与えることになりかねません。実戦で人材育成を行う場合には「失敗しても上司や回りでフォローする」という体制を作っておくか、もしくは「失敗したらあきらめる」という腹を括るということが必要なのですが、情報セキュリティ事故の場合、前述したように「そもそも失敗しちゃダメ」ということが多いのです。そのため、実戦経験のある人が実戦に投入され、実戦未経験の人は未経験のまま、ということになるのです。

また、経験者であっても一度失敗した人が再挑戦できるということも本来重要なのですが、それも難しい場合があったりするため、結果として人材育成が上手くいかず、「難しい」となっているのではと思っています。だからと言って、人材育成のために情報セキュリティ事故の対応現場で失敗を許容するというのもおかしな話になります。

そうなると、実戦未経験者でも実戦の場で失敗しないようにするための方策を考えなくてはいけないのです。その鍵となるのが、過去のセキュリティ事故の記録であると私は考えています。

教材としての記録

さて、営業活動なセミナー等においては「事例」というのは非常に人気のあるコンテンツです。実際には「事例」というのは、特定の組織の事例であり、その組織におけるいろいろな経緯やそれをとりまく環境を含めて考慮する必要があり、他組織の事例があるからといって、それが自分の組織に適用できるかは、全く保証はないのですが、皆さん「事例」を欲しがります。まあ、イメージしやすいし、「自分の所では大丈夫だろうか?」と考えていただけるのならよいので、事例というのは学習素材としては良いものであるのは確かです。

そう考えていくと、自分の組織での「事例」があるというのは、実は経緯やとりまく環境が同じ場合が多いので、その組織での格好の教材となります。もし、その事例が1ページとか2ページ程度にまとめられた資料ではなく、時系列でまとめられ起きた事故に関係する情報が含まれていたら、それを読むことによって、実際の事故を疑似体験することが可能になり、それは非常に濃い教材となります。そういった事例を溜め込むことは、その組織におけるCSIRTの歴史を作ることになります。したがって、私がCSIRT MTに期待する「記録庫」というのは、そういった事例の保管庫であり、情報セキュリティ事故の記録を、つまりCSIRT組織の歴史を積み重ねる基盤となることなのです。

愚者は経験に学び、賢者は歴史に学ぶ

さて、上記のような言葉があります。ビスマルクという人の言葉ですが、「他山の石」とか「人のふり見て、我がふり直せ」でも同じような意味です。要は「過去の失敗を知り、同じ失敗を避けよう」といった意味です。「歴史を学ぶ」の意味とはそういうことであり、CSIRTでの事故対応の歴史はその組織のCSIRT担当者にとって、良い「教科書」になるのです。

そのため、今現在は記録が少なかったとしても、将来の担当者のために今から教科書作りとして、記録を積み重ねていって欲しいのです。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光

About Author

Comments are closed.