本日の情報セキュリティコラム(2014年2月18日)
本日の情報セキュリティコラム(2014年2月18日)
2014年2月18日
体験型で強化するインシデント対応力
中西 克彦
NECネクサソリューションズの中西です。
主な業務は、CSIRTとして社内およびお客様のインシデント対応支援やセキュリティ診断、WAFの開発・サポートなどを行っています。
ここ数年はインシデントレスポンスの経験を演習形式のトレーニングにして、社内外のエンジニアに提供する活動をしています。
今回のコラムでは組織のインシデント対応力を高めるための「体験型トレーニング」についてご紹介します。
■インシデント対応力向上トレーニングについて
攻撃手法の高度化に伴い、インシデントレスポンスも日々複雑化しています。
外部の専門業者に依頼しても、役割分担が明確になっていなければタイムリーな対応はできません。
インシデントをハンドリングする責任者が役割分担を明確にし、対応方針の最終決定をすることで、解析担当者のスキルが活かされ早期解決に結び付きます。
加えて知見の蓄積は組織において重要なメリットとなります。
こうした背景を踏まえ、組織内にインシデントレスポンスを専門に行うチーム(CSIRT)を構築する組織が増えてきました。
CSIRTを対象としたトレーニングは、以下のようなものが行われています。
- 初動対応、クローズまでのプロセス、顧客対応やプレスリリース検討等をグループディスカッションしながら進める机上演習型
- おもにクイズ形式で技術的解析の問題を解いていくCTF型や特定の技術を集中して学習するハンズオン型
- インシデント発生から、検知、初動、解析、対策までを、仮想の模擬環境上で体験するサイバー演習型
形式は様々ですが、体験を通して学ぶことで実際インシデントに遭遇した時に、慌てず適切な対応が出来るようになることを狙いとしています。
トレーニング設計時のポイントは、リアルなシナリオの中に受講者をいい意味で裏切る仕掛けを用意することです。
たとえば、最初は些細なインシデントに見えていたものが、対応の過程で重大なインシデントであることが分かり「なるほどそういうことだったのか」という驚きと判明した時の満足感を得られるような演出が考えられます。
登場人物のキャラクタ設定を作り込んでシナリオへの感情移入を促し、チームで対応して困難を乗り越えることで一体感を得られるようにすることもトレーニングを構成する大事な要素です。
トレーニングというより競技形式になりますが、CTF型のSECCON、サイバー演習型のHardeningなど無償で挑戦できるものが国内にも増えています。
経験に勝る学習はありません。いずれもセキュリティに携わるエンジニアの裾野を広げていこうという活動なので、面白そうだけど二の足を踏んでいる。という方こそ一度チャレンジしてみてはいかがでしょうか。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。
みんなが使うGREEサービスだから
~入門編としての情報セキュリティを~
中野 正康
グリー株式会社は、スマートフォンや携帯電話向けのソーシャル・ネットワーキング・サービス(SNS)GREEなどを提供しているインターネット企業です。GREEは、2004年にサービスを開始し、今年で10周年を迎えます。現在では、約4千万人の幅広い世代のお客さまにご利用いただいています。
スマートフォンや携帯電話などで気軽に遊べることもあり、GREEのお客さまはインターネットの仕組み等に詳しい方たちばかりではありません。いわばインターネットサービスの入門編としてGREEのサービスをお使いいただく方もいらっしゃると受け止めています。そのような方たちが安心して安全にインターネットサービスをご利用いただけるように、私たちも様々な工夫をこらしているところです。
なかでも、GREEのお客さま全体から見ると割合としては多くないのですが(:20歳未満のお客さまは約2割)、それでも数百万人の未成年のお客さまにサービスをご利用いただいています。そうした方々がインターネットの世界での自らの振る舞い(:書き込みや写真投稿など)に気をつけるように、グリーとしては、積極的な情報発信や啓発活動に取り組んでいます。
これは、未成年のお客さまがGREEに登録すると必ずSNS のサービス上でお友達になる公式アカウントの画像です。公式アカウントからは、その時々の話題のトピックが送られます。例えば、昨年夏は「ネット選挙解禁」の言葉がマスコミをにぎわせました。でも、そもそも未成年は選挙活動が許されていないので当然インターネットを使った活動もダメですよ、というような、ネットのルールや法律の制度を、できるだけ易しい言葉で分かりやすいように工夫して伝えています。
「みんなが使うSNSを提供するグリーだからこそできる」、そんな情報セキュリティのメッセージの伝達に貢献することができれば、という思いで、私たちも安心安全なインターネット社会の構築に引き続き取り組んでまいります。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。