SBTのスベテ

自社に最適な CSIRT の在り方とは 第1回(全3回)

伏見 修一

セキュリティコンサルティングを担当しております、伏見修一です。
今回から3回にわたって、最近ご相談の多い「CSIRT」について記事にしていきたいと思います。
1回目の今回は、CSIRT をこれから検討される方向けに、CSIRT の必要性と CSIRT の役割についてご紹介します。


CSIRT とは

Computer Security Incident Response Team の略で、サイバーセキュリティに関する事故や障害に対処・対応するための機能及び体制を指します。


CSIRT の必要性

国内省庁からは、経済産業省「サイバーセキュリティ経営ガイドライン Ver2.0」や、総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第二版)」などで、セキュリティインシデント発生時および初動対応・再発防止策実施などのハンドリングを実施する専門組織として CSIRT が記載されています。JPCERT や IPA などのセキュリティ関連ドキュメントでは、CSIRT の存在自体が当然のごとく、記述されています。
このように、CSIRT とは企業規模や事業領域などに関係なく、企業や教育機関など、様々な組織に必要とされている機能及び体制と言えます。

その最大の理由としては、セキュリティ対策において100%の防御は不可能である。という事が挙げられます。これは、様々なセキュリティ専門ベンダーでさえも明言しており、重視されるポイントは「防御」から「速やかな検知・対処」に移り変わっています。(「防御」しなくて良い!という意味ではありません)そうしたことから、「速やかな検知・対処」を行う、CSIRTが必要とされています。

<参考>
経済産業省「サイバーセキュリティ経営ガイドライン」 
https://www.meti.go.jp/policy/netsecurity/mng_guide.html

総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第二版)」
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html


CSIRT が無い場合

では、例として、CSIRT が無い組織でインシデントが発生した場合を考えてみましょう。

最近、脆弱性を突かれ、知らないうちに攻撃者に乗っ取られた機器から、外部の他者を攻撃してしまっていた。という事象が多く聞かれますが、このような場合、警察・公的機関・攻撃を受けた被害者などから、直接問い合わせが入ってくる可能性があります。
もし、CSIRT が無い組織の場合、対外的に公開している代表電話番号や問い合わせ受付メールアドレスなど、色々な形で問い合わせが入り、それぞれ受け付ける部署が異なり、運用ルールが定まっていない為、会社組織として迅速で正確な対応が出来ず、さらなる被害拡大や社会に対する不信を招いてしまう可能性もあるでしょう。

このように、CSIRT は対外的なセキュリティ窓口の役割を担い、組織としてセキュリティ体制を保持しているという証になるとも言えるでしょう。


CSIRT の役割

一般的に、CSIRT が担う機能は、以下の3つに分類されます。

  • インシデント事後対応機能
    →インシデント発生後対応の指揮命令や外部関係者との連携の主導など

  • インシデント事前対応機能
    →平常時における、情報収集・監査やセキュリティ運用に関するツール管理・開発など

  • セキュリティ品質向上機能
    →平常時における、組織全体のリスク評価・セキュリティ教育や啓蒙活動など

これらは組織として全て必要な機能ではありますが、CSIRT で担うか否かは、他組織との兼ね合いや組織ポリシーによって異なります。

CSIRT の現実

現実的には、上記全ての業務範囲をカバーした CSIRT を保有している組織は少なく、CSIRT を専任独立体制として保有しているケースもかなり稀だと思われます。

CSIRT の業務範囲を限定する理由としては、既に業務分担がなされており、改めて機能担当を変更する事にメリットを見いだせない場合や、一部、外部サービスの利用や委託がなされており、自社に機能を保有する必要がない場合などがあります。

また、CSIRT を専任独立体制ではなく、仮想体制とする理由としては、慢性的な人材不足により、セキュリティに関する専任メンバーを採用したり、既存メンバーを異動すること自体が困難という理由もありますが、そもそも、CSIRT は、インシデント発生時の社内全体のハンドリングや、対社内・外への連絡・報告・アナウンスなども業務範囲に含むため、社内間接部門の協力も必要となり、自社について幅広い理解を持ったチームが理想的であるため、既存業務と兼務という形で仮想体制を選ばれるケースが一般的です。


さいごに

CSIRT に関するドキュメントや書籍なども多くなって来ましたが、大切なことは、自社に合った機能及び体制を理解した上で、構築・運用することです。
あまり、形にこだわらないことをお勧めいたします。

次回は、構築や再構築に関する具体的な考え方や進め方をご紹介いたします。


関連リンク

自社に最適な CSIRT の在り方とは 第2回
自社に最適な CSIRT の在り方とは 第3回

【総合】お問い合わせ

ソリューションに関する全般的なお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録