日々高度化するサイバー攻撃に対して、検知から対応・復旧までワンストップで支援する「CSIRT運用支援サービス」

三菱電機インフォメーションネットワーク株式会社（MIND）は、2022年10月、お客様のセキュリティライフサイクル全般を支える新組織「MINDサイバーフュージョンセンター」を設立し、サイバー攻撃に対する備えを強力にサポートする「CSIRT運用支援サービス」の提供を開始しました。日々高度化するサイバー攻撃に対して、検知から対応・復旧までMINDがワンストップで支援します。

MINDは1998年にセキュリティサービス事業を開始しました。2006年にはセキュリティ機器の運用監視やインシデント通知を24時間365日提供する「セキュリティオペレーションセンター（SOC）」を立ち上げ、多くの企業のサイバーセキュリティ対策を支援してきました。

そして、より高度で包括的な支援を提供するため、2022年10月にMINDサイバーフュージョンセンターを設立しました。

センター長を務める庄谷卓也氏はMINDサイバーフュージョンセンターの概要を次のように語ります。

「MINDサイバーフュージョンセンターでは、SOCが提供しているセキュリティインシデントの特定・防御・検知サービスに加えて、これまでお客様が対応されていた対応・復旧も含めて支援する、より踏み込んだサービスをご提供します」

「対応・復旧」は、通常はお客様企業の社内にCSIRT（ComputerSecurityIncidentResponseTeam）と呼ぶ、セキュリティインシデント対応の専門組織が対応しますが、CSIRTを運用するのは容易ではありません。

CSIRT運用支援サービスを開発した背景について、庄谷氏は次のように語ります。

「SOCの役割はお客様自身がインシデント対応を行うための情報提供です。SOCの担う特定・防御・検知といった分野は比較的アウトソースしやすい業務です。一方、インシデントへの対応と復旧を行うCSIRTは、自社のシステムをしっかりと把握している必要があるためインソースで行うのが主流です。しかし現実にインシデントが発生した時には、内部だけで対応するのは困難です。インシデントを検知した後の対応もサポートして欲しいというお客様の要望は以前から多く寄せられていました。特に、セキュリティ対策にかけられる予算や人材面で制約がある中小規模の企業では、お客様自身による対応や復旧が難しいといえます。そこでインシデント対応や復旧も含めたサービスを開発し、それを実行する組織としてMINDサイバーフュージョンセンターを設立しました」

近年はセキュリティ対策がおろそかになりがちな中小企業にサイバー攻撃を仕掛け、そこを踏み台にして取引先の大企業を攻略するサプライチェーン攻撃の脅威が増大しています。このため中小企業でも高度なセキュリティ対策やインシデント発生への備えが必要です。CSIRT運用支援サービスはこうしたニーズに応えるものです。

サービス範囲をCSIRTの領域まで拡げるため、MINDサイバーフュージョンセンターは充実した設備と人員を擁しています。

対応する人材について、分析を担当する村松孝俊氏は以下のように語ります。

「MINDサイバーフュージョンセンターにはセキュリティ関連の様々な専門資格を持ったスペシャリストが多数在籍しています。例えば、IPA（情報処理推進機構）の情報処理安全確保支援士、セキュリティプロフェッショナル認定資格制度（CISSP）、WindowsForensicのGIACCertifiedForensicExaminer（GCFE)、認定ホワイトハッカー（CEH）などです。また、サービスやインフラの開発・運用メンバーにも経験豊富な人材が揃っています」

こうした人材が能力を十分に発揮できるように、AIによる自動化を導入しています。

「監視などの定型的な業務はツールによる自動化を進めています。最近では、複数の異常が検知された時に、対処する優先順位を決めるトリアージと呼ばれる作業もAIによって自動化しました。その結果、高い技能を持つスペシャリストを、人間にしかできない業務に専念させることができます」（村松氏）

ファシリティ関係を担当している伊藤久繁氏は設備について次のように説明します。

「MINDサイバーフュージョンセンターは、厳格な入退室管理をはじめとする物理セキュリティと、お客様のシステムとの安全な接続を確保する論理セキュリティの両面で高い安全性を確保できるように設計しました。また分析のスペシャリストが能力を十分に発揮できるよう高性能なハードウエア環境を整えています。AIの活用においては三菱電機の情報技術総合研究所と共同で研究しながらログ分析の技術開発などを行っています」

CSIRTには大きく分けるとインシデントの予防と発生したインシデントへの対応という二つの役割がありますが、「CSIRT運用支援サービス」は、様々なメニューを組み合わせてその両方をカバーします。

インシデント予防のサービスとしては、セキュリティ情報の提供とインターネット定期スキャンがあります。セキュリティ情報の提供では世界中で日々発信される脆弱性情報の中からお客様にとって重要性が高いものを選別して提供します。インターネット定期スキャンは、お客様の公開グローバルIPに対して定期的に診断を実施し、脆弱性を早期に発見します。

CSIRT運用支援サービスのご契約者様は専用のポータルが利用できます。お客様はインシデント発生の可能性がある場合に、このポータルに対して問い合わせを行うことで専門家によるインシデント対応のアドバイスを受けることができます。

インシデント対応についてサービス企画を担当する高田直樹氏は以下のように説明します。

「インシデント対応では、まず検知と分析によって脅威を特定し、脅威の拡散を防ぐための封じ込めを行います。そのうえで脅威の要素を根絶して、通常の運用に復旧させます。CSIRT運用支援サービスでは各段階に合わせたアドバイスをご提供します。MINDのSOCサービスやマネージドセキュリティサービスのご契約者様であれば、MINDサイバーフュージョンセンターからログの参照などを行ってより具体的なアドバイスやシステムの設定支援が可能になります」