インシデント発生で頼りになる|CSIRTの概要と構築ポイント

この記事は約9分で読めます。

CSIRTというのを聞いたことはありますか?

ざっくり言ってしまえば組織の情報セキュリティを扱う専門機関ですが、昨今のセキュリティ対策でできれば設置しておきたい機関ですので、ぜひ概要を押さえておいてください。また、設置まではせずとも、企業のセキュリティ担当者のあり方の参考にしていただけましたら幸いです。 

また、貴社のセキュリティポリシーの策定は万全でしょうか。LRMでは、企業のセキュリティ対策にとって基礎的かつ避けては通れないセキュリティポリシーのサンプルと作成のポイントを詰め込んだpdf資料を無料で配布しています。ぜひご活用ください。

CSIRTとは

CSIRT(Computer Security Incident Response Team)」(読み方「シーサート」)とは、組織におけるセキュリティインシデント(セキュリティ上の問題)を扱う専門組織を指します。

一般的なセキュリティ対応はインシデント発生を防ぐ「事前対応」が中心ですが、それに対してCSIRTは「事前」「発生時」「事後」のすべての段階を守備範囲とします。言い換えると、セキュリティリスク対策のほか、発生時の被害抑止、復旧や原因究明、再発防止まで行います。CSIRTはセキュリティトラブルに対する防衛・対処・解決を組織内でまかなう、いわば自警団のようなものです。

ITセキュリティ対策は一つの組織や企業が独力でやるよりも、情報共有して脅威に備えるほうが安全です。CSIRTは役割や専門性により、さまざまな形態があり、主に以下の6つに分類されます。

組織内CSIRT(Internal CSIRT)

CSIRTの一般的な形態で、自組織にかかわるセキュリティインシデントに対応します。編成形式として、CSIRTチーム専任のほか、トラブル発生時に各部門から任命する分散型、両方を弾力的に運用する統合型があります。

コーディネーションセンター(Coordination Center)

協力関係にある他のCSIRTと連携し、情報収集や調整を行う機関です。たとえばグループ企業の複数のCSIRTを連携するものや、異なる企業内CSIRTが任意参加する自主組織もあります。目立ったものとして、国レベルの広域を対象とするコーディネーションセンターがあります。

国際連携CSIRT(National CSIRT)

国や地域を代表するCSIRTで、セキュリティインシデントに関して国際的な窓口となる組織です。日本ではJPCERT/CC(JPCERTコーディネーションセンター)がそれにあたります。

JPCERT/CCは特定組織に属さない独立機関であり、日本国内におけるインシデント等の報告受付、情報提供のほか、技術的な支援活動を行っています。

分析センター(Analysis Center)

分析センターは独立機関のこともあれば、組織内CSIRTに設置されることもあります。脆弱性の調査やインシデント傾向の分析、マルウェア解析、侵入の痕跡等の分析を行い、インシデント発生時に役立てたり注意喚起を行います。

ベンダーチーム(Vendor Team)

自社製品やITサービスの提供者が組織するCSIRTで、製品の脆弱性に対応します。内外から寄せられる脆弱性情報の受付窓口でもあり、組織内での情報共有やインシデントに対応します。たとえばセキュリティパッチの提供や、ユーザーに対する注意喚起です。組織内CSIRTと兼務しているケースもみられます。

インシデント・レスポンス・プロバイダー(Incident Response Provider)

組織内CSIRTの機能(または一部)を外部に提供するアウトソーシング事業者のことです。代表的なのはセキュリティベンダーや、インシデント検知に重点を置くSOC(ソック)事業者です。組織内CSIRTの設置が困難な場合に、この形態が採用されます。

ただ、実効性を考えて、専門性や集約的な業務等、一部を外部委託しつつ組織内CSIRTを構築する企業も増えています。なぜなら有事の際はCSIRTが中心になり、指揮や社内調整を行わなくてはならないからです。

CSIRTが求められる背景

CSIRTが広まりを見せる背景として、「セキュリティインシデントは起きるもの」という思想が元になっています。昨今のセキュリティ脅威は巧妙化、複雑化、凶悪化しており、どんなにセキュリティ対策を施しても突破されないという保証はありません。しかも攻撃手法は目まぐるしく変化するため、完全に対応するのは事実上困難になっています。

CSIRTの歴史は古く、インターネットが普及する以前、1988年にカーネギーメロン大学に設置されたCERT/CCが始まりといわれます。日本では1996年にJPCERT/CCが設置され、2002年には政府によるNIRTの設置、2007年には民間団体のNCAが設立されています。

日本ではまだあまり馴染みのないCSIRTですが、米国やシンガポールでは大半の国で設置されているように、年々高まりを見せるセキュリティリスク、そしてインシデント発生に対する事業インパクトを考えれば、主体的に危機対応を行うCSIRTの設置は必須と考えられます。

CSIRT導入にメリットはあるか

通常のセキュリティ担当者とCSIRTを区別するのは、その専門性・対応業務の幅広さ、リーダーシップなどです。

すなわち、CSIRTを導入するということは、常に組織のセキュリティインシデント防止のために情報収集や対策の検討・従業員教育を実施する、さらに、インシデント発生時の対応を率先して行うリーダーを経営層に近いポジションに設置するということです。それも、企業全体の、経営問題としてセキュリティを取り扱う存在です。 

セキュリティインシデントの際の対応窓口や管理業務としての役割を率先してこなしてくれるため、必要な対応がしやすく、被害や損失が最小限に抑えられる、という点がメリットです。 

組織内CSIRT構築で考慮したいポイント

実装を見据え、CSIRTの目的職務展開方針、また外部連携の手段を整えましょう。また組織内でCSIRTを理解してもらう努力も欠かせません。

活動目的

CSIRTの活動目的を明確に設定します。目的が明確になれば具体的な実装も見えてきます。また、目的の優先順位を決めることで、いざというときも対応を迅速に進めやすいです。

さらにミッションステートメントの作成により、組織の経営層はじめ、さまざまな関係者からCSIRTの理解と支援を得られるようになるでしょう。

活動範囲

リソースに余裕がない場合、いきなり組織全体に展開せず、重点対象を決めて体制を固めるのがベターです。CSIRTの運用が一定程度確立できたら、本格的に展開して安定運用につなげます。

業務内容

CSIRTチームが行う業務内容を定義します。CSIRTで求められる機能は幅広く、専門技術を要するものなど困難なものは取捨選択しましょう。リソースが限られるなかで、現実的に妥当かつ必要な業務を定めましょう

連絡体制

インシデントによっては、外部組織との連携や調整が必要になることがあります。そのため自組織への連絡や通報窓口を用意し、関係者に周知します。手段はWebサイトの問い合わせ先やメールアドレス、電話等です。

インシデントの定義

CSIRTが対応すべきインシデントを定義・分類します。そして対応の優先順位を決めたり、対応マニュアルを作成しておきます。仮に想定外のインシデントが発生したとしても、一定の基準をもとに対応しやすくなります。

組織内CSIRTの構築方法

JPCERT/CCでは、組織内CSIRT構築に関する『CSIRTマテリアル』を一般に公開しています。CSIRTの構想、構築、運用の3つの段階において参考となる詳細資料を提供しています。

構想フェーズ

新しい体制の推進や組織構築において、経営層の主導や支援があることが望ましいです。CSIRTの推進も同様で、組織戦略とリソースを考慮し、実効性のある枠組みを決めていきましょう

構築フェーズ

構想フェーズで決めた大枠をもとに、現実の組織にふさわしいCSIRTの形態や役割、活動範囲を定めます。CSIRTは必ずしも独立した部門として設置する必要はありません。個々の組織に最適な形態を探して構築します。

運用フェーズ

CSIRTで果たすべき役割と業務範囲をもとに活動を開始します。CSIRTには平時の対策のほか、インシデント発生時の主体的な対応も求められます。組織の実態に即した優先度や手順を参照し、いざというときでも慌てずに情報収集と対応の実行、外部と連携・協力していきます。

CSIRT構築にあたって必要な人材

CSIRT構築にあたって必要な人材/スキルというのは多岐にわたり、最早セキュリティスキルに限定されません。 

日本CSIRT協会では、18種類にわたるCSIRTの役割を5つのグループに分けています。参考にしてみましょう。 

役割 具体的な内容 具体的なスキル
連絡・全体統括 連絡窓口として、組織外部も含めた報告・説明をする。また、専門家・総務部・警察とも連携して調査~対応の優先順位付け~全体統括を行う。
  • コミュニケーション能力
  • リーダーシップ
SOC(セキュリティオペレーションセンター) 脆弱性情報・脅威情報をシステム・ネットワーク・リサーチ情報から取得し、リスク判定を行う。セキュリティ機器や資産管理ツールから得られる情報を把握・解析し、該当部門への連絡を実施する。
  • 情報収集能力
  • ツールや機器を用いた情報分析能力
  • デジタルフォレンジック技術
セキュリティ戦略・製品評価 自社のセキュリティ機器の有効性を確認し、以降のセキュリティ戦略を策定する。また、自社システムの脆弱性診断を実施し、是正指示を出す。
  • 脆弱性診断スキル
  • セキュリティ戦略策定能力
資産管理・教育 自社の資産管理に基づくリスクアセスメントの実施、対応。従業員教育の実施。
  • リスク評価能力
  • 教育・啓発の戦略策定能力
インシデント対応 インシデントを調整・調査し、関係者への連絡・調整・対応依頼をする。インシデントに対し、戦略に基づいたタスク細分化と実行。
  • 関係者間の調整力
  • インシデント発生時のマネジメントスキル

このようにさまざまな役割があり、それぞれに多様なスキルが求められるのがCSIRTです。なかなか社内で揃えるのは大変かと思いますので、コストと相談して、外注も視野に入れておくと良いかもしれません。 

まとめ

組織内CSIRTはこれまでのセキュリティ対策に比べて、インシデント発生時の鎮静や復旧に積極的に関与します。CSIRTが実効性を持つためには、その重要性の理解と支援の獲得、事業戦略上の位置づけなど、活動の基盤づくりも大切です。

また、企業のセキュリティ対策に不可欠なセキュリティポリシーのサンプルおよび作成・運用ポイントをまとめたpdf資料も併せてご確認ください。

情報セキュリティ対策組織体制・ルールの構築
タイトルとURLをコピーしました