悪意ある権限者への対応--性善説がどこまで通用するか：CSIRT座談会（4）

　サイバー攻撃による情報漏えいなど、セキュリティインシデントが発生した際に対応するCSIRT（Computer Security Incident Response Team）の有効性が認識され始めている。

　CSIRTに焦点を当て、実際に自社内にCSIRTを立ちあげたユーザー企業に集まってもらい、座談会を開催した。今回は第4回（第1回）（第2回）（第3回）。

　参加者は以下の通り。

• デロイト トーマツ リスクサービス株式会社 サイバーリスクサービス シニアマネージャー 岩井博樹
• 株式会社バンダイナムコ エンターテインメント 事業推進室 総務部 危機管理課アシスタントマネージャー堤光伸
• 株式会社ディー・エヌ・エー システム本部セキュリティ部部長DeNA CERT 茂岩祐樹
• 大成建設株式会社 社長室 情報企画部部長 Taisei-SIRTリーダー北村達也
• 一般社団法人 JPCERTコーディネーションセンター 経営企画室 エンタープライズサポートグループ部門長兼 早期警戒グループ担当部門長 村上晃

CSIRTの理想的な位置づけ、役割は

　 ZDNet：一番大事にしなくてはいけない情報は定義しないといけない。でも、その情報を悪意ある権限者などが持ち出すケースも多いと聞きます。こういう方々に対してCSIRTはどのような位置付けでどのようなことをした方がいいか、あるいは実際にどのようなことをしているという話があればお願いします。

ディー・エヌ・エー（DeNA） システム本部 セキュリティ部 部長 DeNA CERT 茂岩祐樹氏

　村上氏：けん制効果が期待できるCSIRTのミッションを役割として持つ人がいるなら、それがいいですね。たとえば、CSIRTが全社員の動向を監視しているということが広く認知されれば、内部犯罪は発生しなくなると思います。それがないと「どうせ誰もみていないから」「外部委託したシステムだし」となって、悪意ある権限者が好き放題やってしまうかも知れません。

　でもそれが見られていると意識すれば、さらにログも取っているとなれば、悪いことをしようとしたときのリスクが認知されると思います。ある意味では。悪いことをするかしないかということは、これとはまったく別の話で、犯罪のリスクを認知させても、窃取した情報をお金に換えたり、犯罪に使いたいという人はいるでしょう。とはいえ、ある意味で牽制効果、抑止効果は狙えるのではないかなという気がします。そういうミッションもCSIRTは持っているのです。

　岩井氏：インサイダーのほかに、パワハラ、ハラッサー（嫌がらせ）に対しても、その証拠を押さえるために裏から関係者を巻き込んだりします。そういうことに向き合いながら、セキュリティ対策技術を駆使して証跡をあぶり出して、ぐうの音もでないところまで追い込んでいくというのはCSIRTの役割のひとつかもしれないという意識は若干ありますね。

　ちなみにですが、茂岩さんや堤さん、自社のサーバに絶対的権限を持っている従業員が、ゲームで不正に自分のキャラを育成したりといった不正をウォッチしますか。