二人の専門家が語る“CSIRT”の今とこれから
日本シーサート協議会 杉浦氏、ＤＴＳ 小川

昨今、企業へのサイバー攻撃が増加する中で、組織のサイバーインシデント対応を担う“CSIRT”（シーサート：Computer Security Incident Response Team）の存在に脚光が集まっています。
皆さんはCSIRTってどんな組織かご存じですか？今回はCSIRTのエキスパートとして活躍する二人にお話を伺いました。

（写真左）
一般社団法人 日本シーサート協議会 副理事長
株式会社 NTT データ先端技術
セキュリティ＆テクノロジーコンサルティング事業本部
CSIRT ディスティラー

杉浦 芳樹氏

（写真右）
株式会社ＤＴＳ
デジタルソリューション事業本部　デジタルビジネス事業部
セキュリティ第二担当　担当課長

小川 真太郎

CSIRTで繋がり20年の二人

―まず、お二人の業界での歩みを教えてください。
杉浦氏　私がCSIRTに関わり始めたのは1998年です。それまではプログラマーとして働いていましたが、限界を感じていて、別のことをやりたいなと思っていたところ、たまたま知り合いの方にお声がけいただき、1998年12月からJPCERTコーディネーションセンター（JPCERT/CC）に参加することになりました。それ以来27年ほど、ずっとCSIRTのことをやってきています。

小川　私は2000年にＤＴＳに入社しています。最初の7年間はシステムの運用監視というセキュリティとは全く離れた業務をやっていました。2007年に部署異動があり、そのときに杉浦さんがチームマネージャーをされていたNTT-CERT（NTTグループ全体のCSIRT）に配属され、7年ほど一緒に仕事をさせていただきました。そのあと、杉浦さんはほかのチームに移られたのですが、私はNTT-CERTに残っていて、その間もたまにお会いして食事をご一緒したり、会合でお話しさせていただいたり。杉浦さんとの交流はもう20年ぐらいになるんですね。

メインミッションは“火消し”

—最近よく耳にする“CSIRT”ですが、どんな役割の組織ですか。どのような体制なのでしょうか。
小川　よく消防署にたとえられるんですが、火事が起きた時の対応組織ですね。サイバー攻撃を受けたあと、どう対応するかが一番のミッションです。もちろん、セキュリティの事故が起きる前に情報収集をして啓発活動をやったりとか、脆弱性が公開されたらセキュリティホールを対応するとかもあるんですが、メインは“火消し”です。サイバー攻撃を受けたら、原因はどこで、何を止めなくてはいけなくて、どういう情報が漏洩して、どういう広報を出さないといけないか、どういう体制で社内の誰を集めないといけないか。そうした対応を統率する組織がCSIRTですね。CSIRTの体制はいろいろあります。たとえばNTT-CERTは、NTTグループ400社を束ねるセキュリティの専門部隊なんです。そこが理想ですが、すごく難しい。多くの企業では、情報システム部門内に設置したり、中小企業では“ 一人” CSIRTの方もいらっしゃるんですね。よくあるのは横断的なCSIRTです。情報システム部門、総務部門、あとはセキュリティに詳しい担当者で体制を作っておいて、インシデント発生時の際には全員が集合する仕組みを作っておく形です。ただ、こうでなきゃいけないという形はないです。

—CSIRTを置くメリットって何ですか。平時から活動しているのでしょうか。
小川　メリットとしては、サイバー攻撃の被害を受けたときの対応ができるようになるところなんですね。変な言い方ですけど、事故が起きる確率ってすごく低いんです。それに対して、自分の会社がサイバー攻撃を受けたときの被害を、ゼロにはできないですが、最小限まで軽減できます。緊急のサイバー攻撃が起きたとき、社内からCSIRTに「ランサムウェアの被害を受けました」とは絶対に申告されず、「パソコンがおかしい」「ファイル名が変わる」といったキーワードの問い合わせを受けます。そんなとき、日頃から攻撃の流行や被害などの情報を収集してインシデント発生時の際に備えていないと対応できません。たとえば、ベンダーが共有する脆弱性情報や、一般社団法人日本シーサート協議会（以降NCA）などのコミュニティで共有される脅威情報など、常に最新情報をキャッチしておくというのが、平時の重要なミッションになります。また、NCAが提供するトレーニングやワークショップなどに参加することで、インシデント発生時の際にしなければいけないことの知見は貯められます。

コミュニティの繋がりの大切さ

—そもそもCSIRTってどのようにして生まれたのでしょうか。現在までの歩みを教えてください。
杉浦氏　CSIRTが生まれたきっかけと言われている事件は1988年11月にありました。まだインターネットがアメリカ中心で、学術系、政府機関、軍関係の組織にしか入っていない時代ですね。「モリスワーム」といって、インターネット上でどんどん伝搬していき、6000台のサーバーがダウンさせられたといいます。研究機関などにあるサーバーがかなりやられたようです。モリスワームはインターネットの規模を計測する意図で作られたソフトウェアで、悪意はなかったんですね。システムやプロトコルの脆弱性を使って伝搬したらサーバーが落ちてしまった。そんな事件でした。この事件をきっかけとして、1988年11月に世界初のCSIRTであるCERT/CCが立ち上がり、同時に米国空軍などにもCSIRTが徐々に立ち上がっていったと聞いています。その後、1989年にWANKワーム事件が起きて、組織間の連携の必要性が明らかになると、翌1990年にFIRST（Forum of Incident Response and Security Teams）という世界的なCSIRT・セキュリティチームのコミュニティが生まれました。FIRSTには今も世界各国から800以上のチームが参加しており、協力関係の構築を目的に活動しています。

—NCAについて教えてください。どんな役割を果たしているのでしょうか。
杉浦氏　NCAは2007年に設立されました。当初６チームで始めたんですね。当時は、CSIRTを立ち上げる企業が徐々に増えてきていて、例えば、私が所属していたNTT-CERTも2004年に設置されてFIRSTに参加していました。そうしたチームの中から、「そろそろ日本にコミュニティがあってもいいんじゃない？」という声が上がって出来たのがNCAになります。どんな活動をしているのかというと、一番意識しているのは、同業・異業種の垣根を超えたCSIRT同士の連携や、学習の場としての役割ですね。2009年に「ガンブラー」というウイルスの問題が発生したときのことは印象深く覚えています。NCAの会議に出る前にコーヒーを飲んで休んでいたところ、国内のコミュニティの仲間から突然「今送ったから」とチャットが来て、自分が関わる会社のインシデント情報を送ってきたのです。それで慌てて小川さんに連絡したりして。何が印象的だったかというと、CSIRTのコミュニティがあったからこそ出来たことで、知り合い同士で情報をもらって、それをちゃんと伝えることができた事例として印象に残っています。

変わらない役割と責任、経験からの学び

—コロナ禍以降、企業のDXが特に進んだと思います。企業のサイバー活動がますます重要になる中で、CSIRTの役割は変わってきていますか。
小川　20年前からCSIRTに携わらせていただいて、当時はCSIRTと言っても「何それ？」というのがすごく多かったのですが、今ではニュースでCSIRTという言葉が出てきて、すごい時代になったなと思います。ただ、浸透してきたがゆえに、その名前が独り歩きしているのかなと思うんですよね。セキュリティ事故が起きたらCSIRTと言えば大丈夫、みたいな。実際はCSIRTがいてもダメなときはダメ。消防署があっても火事は起きるので、火事をゼロにすることはできない。CSIRTに出来ることは、事故が起こらないための啓発活動、そして被害を最小限にすることです。ゼロにするのではなく、少なくするというのがミッションです。私は今もそう理解しているのですが、世の中は「CSIRTがいればサイバー攻撃は防げる」という感覚になっているかも、と思ったりします。でも「そこは違うよ！」とちょっと言いたいです（笑）。

—リモートやモバイル環境がどんどん広がっていくなかで、CSIRTが担う責任も重くなっていますか。
小川　そうですね。CSIRTとしては責任も特に変わりはしないんですが、企業のインターネットの入口がたくさん出来ているので、脅威にさらされるリスクは増えているのではないかと思います。私は5年前からゼロトラストセキュリティのシステム開発に携わらせていただいていますが、安全である一方、入口さえあればどこからでも会社に繋がります。カフェのWi-Fiを使って仕事ができるようになって、ショルダーハッキングであったり、物理的なリスクとしては大きくなっているかなと思います。でも、そこはルールで縛るしかない。基本的に社員の行動の規定まではCSIRTのミッションではなく、どちらかと言えば会社のガバナンスですね。

—昨年、DTSグループでサイバーインシデントが発生したとのことですが、振り返ってお話しいただけるエピソードがありましたら教えてください。
小川　弊社のグループ会社がサイバー攻撃を受けまして、私のほうで約１カ月間、その支援に行きました。セキュリティの専門用語を使わずにエンドユーザーや経営層に説明するということは非常に苦労しました。たとえば、サイバーセキュリティの事後対応として「フォレンジック調査」がありますが、そのままでは意味が伝わらず、言葉選びが難しかったです。インシデント対応のステップや調査項目についてはそんなに悩まなかったのですが、サイバー攻撃への対応を「見える化」することは非常に苦労しました。かつて、NTT-CERTで杉浦さんと仕事をさせていただいたときは、セキュリティの専門家として技術支援をする一歩後ろの立場だったのですが、今回は最前線で、火の起きている中で緊急対応しなければいけないという初めての経験でした。やっぱり知識だけではどうしようもないところが多いと感じました。非常に良い経験でした。

「CSIRT不要論」の理想と現実

—CSIRTの理想のかたちや活動、あり方というのは果たしてあるのでしょうか。
杉浦氏　極論かもしれないけれど、私は、CSIRTは無いほうが良いと思うんです。たしかに、いろんな企業が兼務でやっていますが、お金の面でも人の面でも 、なかなかそこにリソースを割くというのは難しい状況だと思うんですね。本来どうあるべきかを考えると、一人一人がインシデント対応できるようになり、部門ができるようになり、会社全体のリスクマネジメントの一環としてサイバーセキュリティを扱うというのが、本来は理想的なんじゃないかと思っています。なかなか理想論でうまくいかないですが、自分が理想としているのはそれです。CSIRTは、そこに到達するための第一歩と捉えています。

—CSIRTをさらに普及させ、良くしていくため、どのような課題があるでしょうか。
小川　CSIRTって、やっぱりコストに見られがちなんですよね。でも、私の中では本当に、広報や総務や人事と同じように必要な組織なので、要る／要らないの議論の土俵にのるべきではない、あるべき組織です。事故が起きないから要らないとか、そういう次元の話ではない。うまく言葉にできないですけど、“なきゃいけない組織”だと思うんですよ。
　国でも、経産省の「サイバーセキュリティ経営ガイドライン」に組織内へのCSIRT設置を推奨することを明記していますし、サプライチェーン強化に向けたセキュリティ対策として体制を作るのも大切です。2025年7月に国家サイバー統括室（National Cybersecurity Office）が設置され、国家全体のサイバーセキュリティ体制の強化が期待されています。

杉浦氏　企業はCSIRTという組織になかなかお金をかけられません。いくら兼務だとしても組織に何人かいないと回せませんので、コストがかかり、会社の状況によって削られてしまうこともあります。今、NCAには600チーム以上が加盟していますが、中には形だけ作って終わっているところもあるのではないかと思うんですね。ちゃんとお金をかけなければいけないということを、もう少し認識していただかないといけないと思っています。今、多くの組織は「守る」ことにはお金をかけるように意識を向けてきている気がします。では、インシデント対応はどうかというと「守っているから、そんなもの起きない」となってしまうところもあると思います。

企業が強くならないと、日本の国のサイバー攻撃に
対する耐久力は強くならないと思う

国のサイバー耐久力強化、まず企業から

—企業にとってNCAに加わることのメリットはなんでしょうか。
杉浦氏　いろいろな側面があると思いますが、我々は“場を提供する” と言っているんですね。実際に来ていただいて、学んでいただく。NCAが提供するトレーニングに参加していただくというのもありますけど、いろんな考え方を持つ人、いろんな企業の人たちとのワークショップに集まって、話をして、夜は飲み会に。そこでも意外と、趣味の話ではなく、仕事の話で盛り上がることがあって。そういうかたちで、来て、学んでいただけることがメインとして一つあると思います。あとは、互助的な側面ですね。たとえば、課題を抱える人がいたとして、その課題をほかの会員に話すことで共感し、集まって「何か出来ることはないか」と始まったりするんですね。そういうところも売りです。