読むのがホネな(積みがちな)技術書やビジネス書を取り上げて2週間の読書期限を課して読んでアウトプットする仮想読書会「デッドライン読書会」の第31回。今回取り上げるのは「実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画」である。実は細々と情報処理安全確保支援士試験の勉強をしていたので、その関係で大変興味深く読んだ。
なおリンクの多くはAmazonとしているが、本書は訳書が米オライリーのサブスク対象となっている。というわけで有難く定額読み放題の枠内で読ませていただいた。
「実践 CSIRTプレイブック」の全体的な感想
- 前提として一定のセキュリティに関する知識を要する上級者向けの本。冒頭にも書いたが自分はちょうど情報処理安全確保支援士試験の勉強をしていたので大変興味深く読んだ。
- 本書はCISCOのコンピュータセキュリティインシデント対応チーム(Computer Security Incident Response Team:CSIRT)のプラクティスの紹介となっており、実例を多く紹介しているのが特徴である。
- 例えば情報処理安全確保支援士の勉強をしていると、なんというか机上論ばかりで退屈だったりする。本書を読んで実際のインシデント対応の実際がわかったのは大変に良かった。
- プレイブックとは抽象的に言えば「セキュリティインシデントの検知及び対応方法に関する高度な手順書」とのことだが、実際にはCISCOの事例ではBugzillaに登録されたチケットのようだ。この話が出てくるのがけっこう後なので、前半は「プレイブックって何なのよ」という気持ちでいっぱいだった。
- 個人的な印象だが、翻訳は問題ないけれど、よろしくはない。読み進めるのには問題ないが、章題などがちょっと直訳すぎるような……
- 目次はこちらから確認できるので興味があればどうぞ。O'Reilly Japan - 実践 CSIRTプレイブック
- 本書の中核は具体的なプレイブックの話なのだけれども、その前提としてCSIRTを中心とした体制づくりと戦略策定が含まれているのは、大変に参考になった。
特に興味を惹いた箇所に関するメモ
上記に記載の通り、CSIRTの体制づくりや戦略策定に言及されている章は興味深い。
1章 インシデント対応の基本
インシデント対応チームはよく、ネットワークセキュリティの消防士のような存在として比較されることがあります。実際の消防士は消火活動や人命救助を実施し、消防法に則って活動し、防災意識の向上に努めています。燃えさかるビルから人を救い出し、消火を行っていないときは訓練を実施し、機材を整備し、規則に従った防災対策がされているかビルや構造を点検しています。これらすべては火事の規模を最小限に抑え、速やかに消火して事態を沈静化させることにつながります。
実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画 1.2 チームの存在を正当化する
情報処理安全確保支援士の教科書でも消防士の例えが出てきたと記憶しているのだが、このメタファーは有名なのだろうか。わかりやすい。
あと、1.6 自分たちのポリシーを策定する、でCSIRTの設立趣意書の例が出てくる点も興味深かった。このあたり、難しいんですよねぇ……
2章 守りたいものは何か
私たちはインシデント管理プロセスを刷新するとき、うまく運用できているものとできていないものとを、ざっと見ることから始めました。面白い技術的な課題に即取り組む代わりに、基本に立ち戻り、解決したい問題が正しく定義されているかを確認し、自社の安全を守る上で最も基礎的な要件に応えられるかどうかを考えることにしたのです。そして、これら問題や目標を次の 4 つの質問形式にまとめました。
- 守りたいものは何か?
- 脅威は何か?
- どうやって検知するのか?
- どう対応するのか?
上記の質問の答えは、セキュリティ監視とインシデント対応の基礎となります。
実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画 2.1 中核となる4つの質問
基本だといわれるとその通りだが、問われると困るタフな質問である。
またこの後ろに 2.9 プレイブックのコピーをいただけますか、という項がある。本章ではここまでで「何かを守るための必要事項がすべて定義された、網羅的かつ形式的なアプローチなど存在しない」ということを説明しているわけで、結果としてプレイブックのコピーなんて意味がないという話は、その通りだと思う。
*
この後、具体的なプレイブックや対応システムの構築についての説明がされたのち、最後に「10章 インシデント発生!どう対応する」で具体的なケーススタディ、「11章 適切な状態を維持するには」では今後のセキュリティ対策の展望について語られている。
5章~9章は詳細すぎて難しい、専門外ということもあるかもしれないので場合によってはすっ飛ばしても良さそうだ(そういう意味ではサブスクで読めるのが本当にありがたい)
ただし、サブスクで読む場合は若干課題があるので注意が必要だ。おそらく日本側の出版社のデータ共有方法が「固定ページ」形式なので、サブスク側でも固定ページで表示されてしまうのだ。日本でも本書の訳書はPDFのみ提供されているのがおそらく関係しているのだろう(KindleやEPUBに対応している訳書については他の書籍と同様に快適にWebページとして参照できるものもあるため)。
