CSIRT とは、コンピューターセキュリティについて発生した問題を適切に処理するためのチームです。デジタル化にとともにセキュリティ対策の強化が必要になり、CSIRT に注目する企業が増えています。
この記事では、社内のセキュリティ強化を目指す情報システム部門の担当者に向けて、CSIRTの特徴や設置の流れについて解説します。ぜひ参考にしてください。
CSIRT とは?
CSIRT とはどのようなものなのでしょうか。ここでは、CSIRT の特徴や SOC との違いについて解説します。
CSIRT の概要
CSIRT とは、コンピューターセキュリティの問題に対処するチームのことです。「Computer Security Incident Response Team」を略して CSIRT とよばれています。コンピューターやインターネットの発展により、サイバー攻撃は巧妙化しました。そのため、CSIRT を設けて対策を講じる組織も多くなっています。
SOC との違い
CSIRT に似たものとして SOC があります。SOC は「Security Operation Center」の略であり、CSIRT から依頼されて、データやログをさらにくわしく調べる役割を果たします。それに対して、CSIRT は組織のセキュリティを司る司令塔です。SOC は、CSIRT の指示に従いながら分析や調査を進めます。
ただし、場合によってはそれぞれが互いの業務を担当するケースもあります。明確な境界線があるわけではありません。
CSIRT の種類
CSIRT にはさまざまな種類があります。ここでは、CSIRT の種類について解説します。
National CSIRT
National CSIRT は、国や地域に関わるコンピューターセキュリティのインシデントに対処するチームです。National CSIRT として、たとえば日本には JPCER / CC(JPCERT コーディネーションセンター)があります。政府や企業と連携し、さまざまな対策や対応をとっています。
Internal CSIRT
Internal CSIRT は、社員や顧客に関係するインシデントを対象とするチームです。具体的には、組織が保有するシステム、ネットワーク、設備、施設、サプライチェーンなども対象としています。組織の内部に CSIRT を設置し、インシデントの発生に備えたり問題が発生したときに対処したりします。
Vendor Team
Vendor Team は、自社が扱っている製品の脆弱性に対応するチームです。製品の脆弱性について報告を受けるための専用の窓口を設け、情報収集を行います。脆弱性に関する情報が入った場合、社内で速やかに共有してどのような対処をすべきか検討します。更新プログラムの作成だけでなく、顧客への注意喚起も必要です。
Coordination Center
Coordination Center は、インシデントの発生について報告を受け、適切な対処を行うチームです。インシデントによる影響を正しく把握するため、複数の組織の CSIRT から情報を集めます。そして、それぞれから得られた情報をもとにし、適切な対象を行えるように調整を進めます。
Analysis Center
Analysis Center は、最新のインシデントの脅威や脆弱性について調査し、くわしく分析を進めるチームです。最新のサイバー攻撃や不正プログラムについての研究により、インシデントの発生を防ぐヒントを探ります。大きな被害につながるインシデントの発生が懸念される場合は、注意喚起も行います。
Incident Response Provider
Incident Response Provider は、外部の組織のインシデントに対処するためのチームです。組織内に CSIRT を設置できない場合は、Incident Response Provider への外部委託により CSIRT の役割を果たしてもらえます。契約すれば、すぐに専門的な知見による対策を実施可能です。
組織に CSIRT を設置すべき理由
政府は、デジタル化に力を入れるようになっています。また、各企業も競争力を高める目的でデジタル化を積極的に推進するようになりました。
しかし、サイバー攻撃の手口は巧妙になり悪質化しています。セキュリティ対策を強化しても防ぎきれないケースも増えています。たとえば、セキュリティソフトの使用などの単純な方法では、最新のサイバー攻撃に対処できません。
インシデントが発生すると組織に対する信頼が下がり、事業の継続も困難になる恐れがあります。それを回避するには、インシデントの発生を素早く検知して状況を把握し、被害の拡大を防止する必要があります。組織内での情報共有や顧客への通知も重要です。CSIRT を設置すれば、これらの業務を着実に遂行できます。
CSIRT の設置により期待できる効果
CSIRT を設置すると、セキュリティ上のさまざまな問題に備えられます。万が一、被害が発生した場合も CSIRT が率先して原因究明や対処を行うため、被害を最小限に抑えられます。
また、CSIRT を設ければ、インシデントの対応窓口や情報管理などの業務もまとめて対応可能です。インシデントに関する情報を着実に把握できるようになり、必要な対処がしやすくなります。そのため、より効率的にインシデントへ対応できるようになるでしょう。
CSIRT を社内に設置する流れ
社内に CSIRT を設置する場合、方法は主に2つあります。それぞれの流れについて解説します。
社内で構築する場合
自社で CSIRT を構築するなら、まずは経営層に CSIRT の必要性を理解してもらいましょう。CSIRT の役割や具体的な業務内容について、くわしく説明してください。
経営層の納得を得たうえで自社の CSIRT の方向性を決定します。さらに、どのような CSIRTを設置するか具体的に検討しましょう。その後、CSIRT の業務を実際に担当するスタッフや業務を統括するリーダーなどを選出します。シミュレーションを実施し問題がなければ、CSIRT の運用を始めます。
外部に委託する場合
CSIRT は外部へ委託して設置する方法もあります。特に、社内のセキュリティ人材が不足している場合は、アウトソースしたほうがスムーズにいく可能性が高いです。外部委託すれば、契約直後から CSIRT による高度な対応を進められます。ただし、コストもかかるため、費用対効果を確認しましょう。社内にノウハウを蓄積できない点にも要注意です。
CSIRTを設置する際に意識したいポイント
CSIRT を設置する際は気をつけるべきこともあります。ここでは、特に意識したいポイントを解説します。
目的を明確にする
CSIRT の設置を検討するときは、なぜ CSIRT が必要なのかよく考えましょう。CSIRT の設置による効果を高めるためには、目的を明確にしておくことが大切です。目的があれば、CSIRT の設置や運営を進めるうえでも指針になります。自社のセキュリティ上の課題を確認し、CSIRT を設置すればどのようなメリットがあるか確認してください。
活動範囲や業務内容を定める
CSIRT は、セキュリティ全般を対象としています。しかし、業務内容が広すぎれば、CSIRT のチームや担当者にかかる負担が大きくなる恐れがあります。最初からさまざまな活動を任せるのではなく、人材や予算にあわせて活動範囲や業務内容を定めるべきです。安定的に CSIRT の活動が進んでいると確認できたら、必要に応じて業務を拡大しましょう。
インシデントについて定義する
CSIRT を設置するうえでは、CSIRT が扱うインシデントについて定義する必要があります。何をインシデントとして扱い、監視や情報収集をどのように進めるのか決めておきましょう。インシデントによる影響や損害についても、どこまで対処するのか明確に定めておくべきです。どのデータを保護するのかについても確認しておきましょう。
外部組織とも協力する
自社の CSIRT がスムーズに活動するためには、ステークホルダーとの連携も必要不可欠です。社内の関係者だけでなく、外部の関係者とも密接な情報共有を行いましょう。必要に応じて外部のCSIRTとも協力する必要があります。社内で対応するのが難しい部分については、外部の専門家を頼るのもひとつの方法です。
まとめ
さまざまな脅威に備えるには、CSIRT を設置して対策を強化する必要があります。サイバー攻撃の手口は巧妙化しているため、CSIRT を設置する企業は多くなっています。CSIRT を設置すれば、問題が発生した場合も適切な対処を迅速に進められるでしょう。
SBテクノロジーなら、セキュリティ対策支援として、サービスの導入から、セキュリティ監視・運用・各ソリューションをまたいだ相関分析・調査・解決策のご提案まで一貫して提供しています。セキュリティ対策のエキスパート人材がそろっており、どのような場面でも適切な対処を実現できます。
「CSIRT 構築支援サービス」では、セキュリティを監視し、問題が発生したときに原因解析や影響範囲を調査する組織の構築を支援します。CSIRT 設置についてぜひご相談ください。
