インシデント発生で頼りになる|CSIRTの概要と構築ポイント

この記事は約6分で読めます。

現在はセキュリティリスクに対応する専門組織のニーズが高まっています。リスクを未然に防ぐだけでなく、有事に果敢に対応するCSIRTに注目する企業が増えています。

今回はセキュリティインシデント発生時に中心的な役割を果たすCSIRTについて説明します。

CSIRTとは

「CSIRT(Computer Security Incident Response Team)」(読み方「シーサート」)とは、組織におけるセキュリティインシデント(セキュリティ上の問題)を扱う専門組織を指します。

一般的なセキュリティ対応はインシデント発生を防ぐ「事前対応」が中心です。それに対し、CSIRTは「事前」「発生時」「事後」のすべての段階を守備範囲とします。CSIRTではセキュリティリスク対策のほか、発生時の被害抑止、復旧や原因究明、再発防止まで行います。CSIRTはセキュリティトラブルに対する防衛・対処・解決を組織内でまかなう、いわば自警団のようなものです。

ITセキュリティ対策は一つの組織や企業が独力でやるよりも、情報共有して脅威に備えるほうがより安全です。CSIRTは役割や専門性により、さまざまな形態があり、主に以下の6つに分類されます。

組織内CSIRT(Internal CSIRT)

CSIRTの一般的な形態で、自組織にかかわるセキュリティインシデントに対応します。編成形式として、CSIRTチーム専任のほか、トラブル発生時に各部門から任命する分散型両方を弾力的に運用する統合型があります。

コーディネーションセンター(Coordination Center)

協力関係にある他のCSIRTと連携し、情報収集や調整を行う機関です。たとえばグループ企業の複数のCSIRTを連携するものや、異なる企業内CSIRTが任意参加する自主組織もあります。目立ったものとして、国レベルの広域を対象とするコーディネーションセンターがあります。

国際連携CSIRT(National CSIRT)

国や地域を代表するCSIRTで、セキュリティインシデントに関して国際的な窓口となる組織です。日本ではJPCERT/CC(JPCERTコーディネーションセンター)がそれにあたります。

JPCERT/CCは特定組織に属さない独立機関であり、日本国内におけるインシデント等の報告受付、情報提供のほか、技術的な支援活動を行っています。

分析センター(Analysis Center)

分析センターは独立機関のこともあれば、組織内CSIRTに設置されることもあります。脆弱性の調査やインシデント傾向の分析、マルウェア解析、侵入の痕跡等の分析を行い、インシデント発生時に役立てたり注意喚起を行います。

ベンダーチーム(Vendor Team)

自社製品やITサービスの提供者が組織するCSIRTで、製品の脆弱性に対応します。内外から寄せられる脆弱性情報の受付窓口でもあり、組織内での情報共有やインシデントに対応します。たとえばセキュリティパッチの提供や、ユーザーに対する注意喚起です。組織内CSIRTと兼務しているケースもみられます。

インシデント・レスポンス・プロバイダー(Incident Response Provider)

組織内CSIRTの機能(または一部)を外部に提供するアウトソーシング事業者のことです。代表的なのはセキュリティベンダーや、インシデント検知に重点を置くSOC(ソック)事業者です。組織内CSIRTの設置が困難な場合に、この形態が採用されます。

ただ、実効性を考えて、専門性や集約的な業務等、一部を外部委託して組織内CSIRTを構築する企業も増えています。なぜなら有事の際はCSIRTが中心になり、指揮や社内調整を行わなくてはならないからです。

CSIRTが求められる背景

CSIRTが広まりを見せる背景として、「セキュリティインシデントは起きるもの」という思想が元になっています。昨今のセキュリティ脅威は巧妙化、複雑化、凶悪化しており、どんなにセキュリティ対策を施しても突破されないという保証はありません。しかも攻撃手法は目まぐるしく変化するため、完全に対応するのは事実上困難になっています。

CSIRTの歴史は古く、インターネットが普及する以前、1988年にカーネギーメロン大学に設置されたCERT/CCが始まりといわれます。日本では1996年にJPCERT/CCが設置され、2002年には政府によるNIRTの設置、2007年には民間団体のNCAが設立されています。

NRIセキュアテクノロジーズによる調査(国内の約1,800社を対象)によると、CSIRT構築済みの企業は約36%で、80%を超える米国やシンガポールと比べると遅れています。しかし、年々高まりを見せるセキュリティリスク、そしてインシデント発生に対する事業インパクトを考えれば、主体的に危機対応を行うCSIRTの設置が必要とされています。

組織内CSIRT構築で考慮したいポイント

実装を見据え、CSIRTの目的職務展開方針、また外部連携の手段を整えましょう。また組織内でCSIRTを理解してもらう努力も欠かせません。

活動目的

CSIRTの活動目的を明確に設定します。目的が明確になれば具体的な実装も見えてきます。また、目的の優先順位を決めることで、いざというときも対応を迅速に進めやすいです。

さらにミッションステートメントの作成により、組織の経営層はじめ、さまざまな関係者からCSIRTの理解と支援を得られるようになるでしょう。

活動範囲

リソースに余裕がない場合、いきなり組織全体に展開せず、重点対象を決めて体制を固めるのがベターです。CSIRTの運用が一定程度確立できたら、本格的に展開して安定運用につなげます。

業務内容

CSIRTチームが行う業務内容を定義します。CSIRTで求められる機能は幅広く、専門技術を要するものなど困難なものを除いても可とします。リソースが限られるなか、現実的に妥当かつ必要な業務を定めましょう

具体的な例は、JPCERT/CCの『CSIRT ガイド(23ページの表 5.3-1 サービスリストの例)』をご参照ください。

連絡体制

インシデントによっては、外部組織との連携や調整が必要になることがあります。そのため自組織への連絡や通報窓口を用意し、関係者に周知します。手段はWebサイトの問い合わせ先やメールアドレス、電話等です。

インシデントの定義

CSIRTが対応すべきインシデントを定義・分類します。そして対応の優先順位を決めたり、対応マニュアルを作成しておきます。仮に想定外のインシデントが発生したとしても、一定の基準をもとに対応しやすくなります。

組織内CSIRTの構築方法

JPCERT/CCでは、組織内CSIRT構築に関する『CSIRTマテリアル』を一般に公開しています。CSIRTの構想、構築、運用の3つの段階において参考となる詳細資料を提供しています。

構想フェーズ

新しい体制の推進や組織構築において、経営層の主導や支援があることが望ましいです。CSIRTの推進も同様で、組織戦略とリソースを考慮し、実効性のある枠組みを決めていきましょう。

構築フェーズ

構想フェーズで決めた大枠をもとに、現実の組織にふさわしいCSIRTの形態や役割、活動範囲を定めます。CSIRTは必ずしも独立した部門として設置する必要はありません。個々の組織に最適な形態を探して構築します。

運用フェーズ

CSIRTで果たすべき役割と業務範囲をもとに活動を開始します。CSIRTには平時の対策のほか、インシデント発生時の主体的な対応も求められます。組織の実態に即した優先度や手順を参照し、いざというときでも慌てずに情報収集と対応の実行、外部と連携・協力していきます。

まとめ

組織内CSIRTは旧来のセキュリティ対策と異なり、インシデント発生時の鎮静や復旧に積極的に関与します。CSIRTが実効性を持つためには、その重要性の理解と支援の獲得、事業戦略上の位置づけなど、活動の基盤づくりも大切です。

情報セキュリティ対策組織体制・ルールの構築
タイトルとURLをコピーしました