シンジです。セキュリティを取り扱う上で「脅して不安を煽って対処させる」のは個人的にとても嫌いなのですが、組織として準備はしていても、マジでガチなのが来た時に、自分たちでそれらに確実に対処できるのかは実際問題として不安があります。事前のドキュメント整備、様々な対策、運用、そして訓練などを行っているとは思いますが、この漠然とした不安を払拭できない原因は、経験豊富なインデントレスポンス専門家や部隊が社内に揃ってない、存在していないことです。
そんなガチの専門家は絶対数が少ない
超絶大企業には関係の無い話かもしれませんが、我々のような弱小企業には、そんな優秀な専門家を所属させておくだけの体力もなければ、毎日や毎週のようには発生しないガチのセキュリティインシデントに対して、雇用する形で所属させておくことも不可能に近いですよね。つまるところ多くの企業の限界点は、様々な国際的指標から社内整備を進め、ルールを作って運用し、最後の最後は外部機関に頼ることを前提としているはずです。
マジでガチのインシデントが起きたとき、外部機関は確実に助けてくれるのか
答えはNOです。ここを知らない、勘違いしている組織が多いのですが、事故後の対処に苦慮しているその真っ最中に、専門企業に問い合わせをしたとて、確実に受けてくれるとは限りません。国内にもサイバーな事件事故に対して、後から入ってきて対処してくれる第三者機関が沢山存在します。これがいわゆる一般企業かもしれないし、国の機関かもしれませんが、頑張って書いたそのインシデント対処手順書にある、最後の最後にある通報先の「その先」って、手順や期間が記載されていることはまずないと思います。
つまるところあたりまえなんですが、一般企業は利益の為に活動しているため、見積金額も内容もまちまちですし、期間も不明ですし、先方も事故を扱うというシビアな事情の中で企業リスクを判断します。というか、今まさにやられている最中に見積取ってるとかそんな余裕あるんかとは思う。
事故後の公表前に、セキュリティ専門会社に相談するも断られ…
内部担当者がコネというコネをフル活用して結果的にシンジの携帯が鳴ると言うケースは少なくありません。弊社は「インシデントレスポンスを専門とした会社」ではないので、シンジの携帯が鳴ったとて会社として対処することはないのですが、シンジもコネというコネをフル活用して別の人の携帯を鳴らすわけです。
少なくともシンジの周りのセキュリティ関係者は慈善活動する人が多い
結局企業間だと、NDAがなんだ〜企業秘密がどうだ〜競合がどうだ〜といった点で、マジでガチのインシデントを観測したセキュリティ専門家も、真っ正面から「あなたの会社、攻撃されてますよ」とは言えないんですよね。
でもなんか、シンジの観測範囲でのセキュリティ専門家たちは、心から正義感を持って活動している人が多くて、企業間取引とか、利益とか、リスクとか、そんなの全部すっ飛ばして、サイバーインシデントで困ってるなら助けてあげなきゃ!という感覚の人が本当に多いように感じます。
みなさんがその親切心に頼り始めたら終わりですよ。ダメですよ。
ただでさえ人材不足なのに、インシデントレスポンスできるような優秀なセキュリティ人材を雇用するだなんて
募集かけるのは企業の自由なのでやったらいいと思いますが、来るわけがねえ。
事件事故が起きる前に専門業者と「契約」しましょう
これまでも多くのお客様に案内してきましたが、事故があってからではマジで遅すぎるので、事故が起こる前提で、起こる前に、起こったときに対処してくれる業者と事前に契約しておきます。少なくともこれで、「事故後に断られる」ことは回避できますし、事故が起きて連絡を入れてからの対処速度が桁違いにあがります。
なにより、マジでガチのインシデントが起きて自分たちの対応範囲を超えたとしても、専門部隊が助けてくれるぞという心の拠り所ができるのは本当に大きいことです。事故が起きてるときの現場の心理的負担は計り知れないのですよ。
どの業者がいいんですかね
過去に様々な専門業者をお客様に紹介してきましたが、それでもいろいろ課題があるなぁと感じていました。例えば、
- 事前にシステムやデバイスなどの情報全てを共有するのが大変
- あたりまえだけど業者によって価格差が結構ある(安ければいいのか?)
- 業者によっては使っているセキュリティソリューションを指定される
そこで突如現れる元US陸軍達が創業した謎のセキュリティ集団
この課題を全部吹き飛ばした専門集団が現れました。
- 事前の情報あってもなくてもやります
- 数千円から始められます(マジで?と思ったけどマジだった)
- どんなセキュリティツールがあろうがなかろうが対処します
初めて話を聞いたときは「あやしい」でしたが、知れば知るほど、なるほど納得で、なかなかよく出来たビジネスモデルだし、抱えてるセキュリティエンジニアのスキルはとんでもねえし、なにより価格が安いのがいい。
BlackPandaとかいう謎のセキュリティ集団
BlackPandaは創業者グループこそアメリカ陸軍出身ですが、ビジネスの拠点はアジア圏をメインとしています。つい最近になって、満を持して日本展開が始まり、2022年からBlackPanda Japanとして大手町にオフィスを構えて活動しています。
創業者の肩幅がヤバい
サイバーセキュリティの話をしているのに、フィジカルなんですよこの人達。筋肉で解決できるタイプのサイバーセキュリティです。
どこぞのマフィアに知り合いが拉致されたので、陸軍のコネというコネを活用して、人集めて突撃してマフィアごと壊滅させてるとかいう謎のバックグランドを持っています。
サイバーセキュリティ事業をはじめたときも、これもまた陸軍のコネというコネを活用して人集めて開始したようです。
価格設計が保険事業みたいでおもしろい
サービス自体はいろいろあって、多くの企業におすすめできるのは、もっとも低価格かつ「とりあえず毎月ちょっと課金してくれたら、マジでガチのやつ来た時に、マジでガチの対処しますね」っていうプランで、これが企業規模にもよって価格は変わるので詳細知りたい場合はきっちり見積を取って貰いたいのですが、だいたい社員1人あたり年間で「2千円」くらいです。やばいですよね。年間ですよこれ。
多くの会社が小さい金額でこういったセキュリティを買ってもらって、マジでガチのインシデントが起きる会社でほんの一部なので、マジでガチのインシデントが起きた会社にこのお金を集中させて対処する、みたいな感じでやってるんですって。
日本ではこれからなんだけど、保険事業もやっている
ランサムウェアに対処するとき、身代金が保険から支払われるケースってあるんですが、これって日本では行われていないんですよね。これは国内の事情があって、政府の方針と法律の問題でそうなっていません。ただし、
- 原因調査費用: どこから侵入され、どのような被害があったかを特定するための費用。
- 復旧費用: システムやデータを元に戻すための作業費用。
- 事業中断損失: サイバー攻撃によって事業が停止した間の逸失利益。
- 法的対応費用: 弁護士への相談費用や、関係各所への通知にかかる費用。
このあたりは対象になるので、インシデントレスポンスから一気通貫で保険手続きまで出来るようになるのは、ユーザーにとってはありがたいなあと思います。保険もBlackPandaにしたいなあ。
ASMのサービスもあります
アタックサーフェスマネジメントですね。あくまでもBlackPandaがインターネット越しに観測できる範囲には限られますが、定期的な穴探しを行って対処法を教えてくれます。
というかサービス範囲は広いです
フォレンジック、脅威ハンティング、ダークウェブ調査、インシデント騎乗訓練作成、EDRハンティング、クラウド設定調査、情報漏えい確認、セキュリティ体制評価、M365アカウント侵害、書き出すときりないのでこれくらいにします。
実はBlackPandaはSaaSです
ブラウザでBlackPandaログインしてあれこれできるんですが、裏側には肩幅でかい筋肉レスポンダーがいるという、それはSaaSと言っていいのかよくわからんSaaSです。
気になる方は
https://www.blackpanda.com/jp
シンジのブログを見たと言えばいい感じにしてくれると思います。
実際にどんな経歴やスキルセットを持った専門家が対処してくれるのか、報告書は実際どんなかんじか、実際の事件事故時の連絡フローはどうなってるか、全部教えてくれます。
少ない費用持ち出しで、大いに安心を買えるので(ここ大事)、人材不足の昨今、とてもいいなぁと思ってます。
